Regulación y Supervisión de TI y Ciberseguridad

Nota aclaratoria de la versión 2.
Los comentarios no expresan una

posición u opinión de las empresas o
instituciones con las que el autor está
Regulación y Supervisión de relacionado. Se excluyen párrafos de la
versión original que no aportan valor al
Tecnologías de Información y lector final. Este documento fue creado

con fines de investigación académica.
Disclaimer of version 2.
Ciberseguridad. Enfoque integrado The comments do not express a position
or opinion of the companies or
al modelo de Supervisión Basada en institutions with which the author is

related. Paragraphs of the original
version that do not add value to the final
Riesgos (SBR). Caso de Estudio. V2 reader are excluded. This document was
created for academic research purposes.
David Ricardo Rodríguez Calderón, Investigador Académico de
Maleku Centro Académico Costa Rica
www.davidrrc.com
San José, Costa Rica
davidrrc@gmail.com
Resumen— Esta investigación presenta una propuesta sobre la Sección sexta. Introduce al lector sobre el abordaje de los temas
mejora de la regulación y supervisión de tecnologías de relacionados con la ciberseguridad a nivel país, mediante el
información y ciberseguridad, así como una propuesta sobre el establecimiento de una estrategia nacional.
rediseño de la estructura funcional de la supervisión de TI a nivel
del CONASSIF; lo anterior, para abordar la problemática Séptima sección. Aborda el desarrollo histórico de la regulación en
planteada en la investigación desde un enfoque holístico e temas de tecnologías de información, así como el modelo
integrado al modelo de Supervisión Basado en Riesgos. regulatorio plasmado a través del Reglamento General de Gestión
de TI y el modelo de Supervisión Basada en Riesgos.
Los resultados de la investigación y la propuesta, puede ser
aplicable a Costa Rica y puede ser utilizado por otras legislaciones Sección octava. Presenta un resumen de las brechas del Marco de
como guía para orientar sus esfuerzos en contribuir con un sistema Gestión de TI en comparación con el Marco de Ciberseguridad del
financiero resiliente y ciberresiliente. El documento está dividido NIST y la ISO 27032.
en once secciones:
Novena sección. Aborda la visión tradicional de que los riesgos de
Primera sección. Introducción. Nos muestra un resumen del sistemas de información y tecnológicos estén dentro del riesgo
contexto, perspectivas y panorama mundial para conducirnos al operativo, y presenta la importancia de su abordaje dentro del
establecimiento del problema y sus causas; así como los objetivos modelo de SBR de forma desagregada, lo anterior, con el fin de
y el esbozo de la solución establecida en el proyecto. permitir a los tomadores de decisiones visualizar de forma más
clara los riesgos y la necesidad de inversión en controles de TI para
Sección segunda. Conceptos generales. Aborda una serie de permitir una gobernanza y gestión acordes a los riesgos del
conceptos mínimos para facilitar la compresión del documento y negocio.
orientar al lector no especializado.
Sección décima. Propuesta. Contiene una descripción de alto nivel
Tercera sección. Riesgos Cibernéticos. Presenta las características de la propuesta que responde a contribuir con la consecución de
y aspectos más relevantes relacionados con los riesgos cibernéticos los objetivos, la solución del problema y los fines planteados, lo
y su convergencia con otros riesgos gestionados a nivel de negocio. anterior considerando los elementos expuestos en la investigación
realizada. Se incluye un apartado sobre la propuesta de regulación
Sección cuarta. Aborda los enfoques, así como marcos de y supervisión, otro apartado sobre el rediseño de la estructura
supervisión y regulación internacional sobre ciberseguridad y funcional de la supervisión de TI a nivel del CONASSIF; y otros
ciberresiliencia que serán considerados como referentes para la apartados sobre SBR y mecanismos de comunicación.
valoración del modelo regulatorio vigente establecido por el
CONASSIF. Onceava sección. Presenta las principales conclusiones del trabajo
de investigación.
Quinta sección. Presenta un resumen de marcos, estándares y
mejores prácticas internacionales, los cuales son utilizados como Palabras claves: Regulación; Supervisión, Tecnologías de
línea base en los cuerpos normativos de cada legislación revisada, Información; Ciberseguridad; SBR.
lo anterior, en concordancia con la existencia de factores
preexistentes que faciliten el enfoque holístico o el enfoque Abstract— This research presents an approach about the
independiente del diseño regulatorio y de supervisión. improvement of the regulation and supervision of information
technologies and cybersecurity, as well as a proposal on the
redesign of the functional structure of IT supervision at the
CONASSIF level; the foregoing, to address the problems raised in
Página 1 de 37
the investigation from a holistic and integrated approach to the Eleventh section. It presents the main conclusions of the research
Risk-Based Supervision model. work.
The research is applicable to Costa Rica and can be used by other Keywords: Regulation; Supervision, Information Technologies;
legislations as a guide to direct their efforts to contribute to a Cybersecurity; SBR.
resilient and cyber-resilient financial system. The document is
divided into eleven sections:
First section. Introduction. It shows us a summary of the context, TABLA DE CONTENIDOS

perspectives, and world panorama to lead us to the establishment TABLA DE CONTENIDOS..................................................2
of the problem and its causes; as well as the objectives and the
outline of the solution established in the project. I. INTRODUCCIÓN.........................................................3
Second section. General concepts. It addresses a series of II. CONCEPTOS GENERALES ...........................................5
minimum concepts to facilitate the understanding of the document III. RIESGOS CIBERNÉTICOS ...........................................6
and guide the non-specialized reader.
IV. ENFOQUES, MARCOS Y MODELOS DE
Third section. Cyber Risks. It presents the most relevant SUPERVISIÓN Y REGULACIÓN INTERNACIONAL
characteristics and aspects about to cyber risks and their SOBRE CIBERSEGURIDAD Y CIBERRESILIENCIA ........7
convergence with other risks managed at the business level.
V. MARCOS, ESTÁNDARES Y MEJORES PRÁCTICAS
Fourth section. It addresses the approaches, as well as SOBRE SEGURIDAD Y CIBERSEGURIDAD ......................8
international regulatory and supervision frameworks on VI CIBERSEGURIDAD A NIVEL PAÍS (COSTA RICA)
cybersecurity and cyberresilience that will be considered as
references for the assessment of the current regulatory model
................................................................................................... 12
established by CONASSIF. VII MODELO REGULATORIO Y DE SUPERVISIÓN
(COSTA RICA)........................................................................ 12
Fifth section. Presents a summary of international frameworks,
standards, and best practices, which are used as a baseline in the VIII BRECHAS DEL MARCO DE GESTIÓN DE TI ..... 16
regulatory bodies of each revised legislation, the above, in
accordance with the existence of pre-existing factors that facilitate
IX MODELOS DE SUPERVISIÓN Y EL MARCO DE
the holistic approach or the independent approach of the design. GESTIÓN DE TI ...................................................................... 17
regulatory and supervisory X PROPUESTA................................................................... 18
Sixth section. It introduces the reader to the approach to issues XI.CONCLUSIONES.......................................................... 23
related to cybersecurity at the country level, through the
establishment of a national strategy.
REFERENCIAS................................................................... 23
APENDICES........................................................................ 25
Seventh section. It addresses the historical development of
regulation on information technology issues, as well as the Índice de Gráficos
regulatory model embodied through the General IT Management
Regulations and the Risk-Based Supervision model. Gráfico 1 Diagrama general de los elementos considerados y
desarrollados en este artículo ......................................................5
Eighth section. Presents a summary of the IT Management Gráfico 2 Diagrama del proceso de Supervisión transversal
Framework gaps compared to the NIST Cybersecurity de TI .......................................................................................... 19
Framework and ISO 27032. Gráfico 3 Proyectos de Supervisión transversal de TI....... 20
Gráfico 4 Flujo del proceso de SBR aplicado para TI ....... 20
Ninth section. It addresses the traditional view that the risks of
information and technological systems are within the operational
Gráfico 5 Portafolio de Servicios del proceso de Supervisión
risk and presents the importance of its approach within the SBR transversal de TI ....................................................................... 20
model in a disaggregated manner, the above, to allow decision Gráfico 6 Estructura de Gobernanza de la Supervisión
makers to visualize more clearly the risks and the need for transversal de TI ....................................................................... 21
investment in IT controls to enable governance and management Gráfico 7 Estructura del Departamento de Supervisión
commensurate with business risks. transversal de TI ....................................................................... 22
Índice de tablas
Tenth section. Proposal. It contains a high-level description of the
proposal that responds to contribute to the achievement of the Tabla 1 Cantidad de entidades supervisadas por cada
objectives, the solution of the problem and the proposed purposes, superintendencia ....................................................................... 13
the above considering the elements exposed in the research carried
Tabla 2 Cantidad de supervisores de TI por cada
out. It includes a section on the proposal for regulation and
supervision, another section on the redesign of the functional superintendencia ....................................................................... 16
structure of IT supervision at the CONASSIF level; and other
sections on SBR and communication mechanisms.
Página 2 de 37
I. INTRODUCCIÓN Ante el panorama complejo de riesgos globales presentados
por el WEF los riesgos tecnológicos y su impacto en el corto
plazo están presentes como parte del sentimiento global, y se
En esta sección, se aborda el contexto, el planteamiento del espera que en un horizonte de cero a dos años se materialicen
problema, así como los objetivos y el esbozo de la solución riesgos asociados a fallas relacionadas con la ciberseguridad
propuesta. causadas principalmente por: Ransomware; robo de datos;
ataque a terceros; exposición de información por
vulnerabilidades de software; filtración y exfiltración de datos
A. Contexto por ex – empleados. Estas situaciones generan un aumento en la
Los avances tecnológicos han impulsado cambios en los desigualdad digital a nivel mundial. [2]
modelos de vida tradicionales, la transformación digital ha
incorporado nuevos componentes que facilitan las labores Por su parte, los gobiernos, entidades reguladoras, así como
cotidianas y generan nuevas formas de interacción social diversos organismos internacionales a nivel gubernamental y
afectando todos los aspectos de la vida, esta situación genera privado han desarrollado una serie de marcos de referencia,
una serie de riesgos inherentes asociados los cuales conllevan a modelos, y estándares sobre tecnologías de información y
tener sanas prácticas de cuidado digital que ayuden a las específicamente sobre ciberseguridad, lo anterior, con el fin de
personas y las organizaciones a su defensa ante diferentes poder brindar guías y directrices orientadoras a los diferentes
escenarios de riesgos. mercados e industrias para atender los problemas asociados a
los riesgos cibernéticos.
Por otro lado, la pandemia del COVID-19 impulsó de forma
acelerada el uso de la tecnología y obligó a muchas personas y Cabe destacar que los riesgos cibernéticos convergen de
empresas a implementar modelos de trabajo virtuales, como forma significativa con otros riesgos, tales como: Riesgos
respuesta a la continuidad de sus actividades productivas y el operativos; riesgos legales y regulatorios; riesgo reputacional;
mantenimiento de sus operaciones; con el fin de preservar así como el riesgo sistémico; de ahí su relevancia y necesidad
niveles de subsistencia mínimos ante las restricciones de establecer una regulación sobre la materia y prácticas de
establecidas por las diferentes naciones a nivel mundial. supervisión que permitan atender los temas relevantes de TI
conforme evoluciona la propia tecnología, sin caer en
El Foro Económico Mundial (El WEF por sus siglas en requerimientos taxativos y orienta ndo las acciones hacia
inglés), presenta de forma anual un informe de riesgos globales principios y una intensidad regulatoria basada en riesgos, que
el cual, para el año 2022 nos revela que a casi a tres años del considere las particularidades de cada tipo de industria, la
inicio de la pandemia del COVID-19, las medidas se empiezan naturaleza propia de cada negocio y el principio de
a relajar a nivel mundial, y el proceso de recuperación proporcionalidad.
económica y social de la crisis provocada por el coronavirus
amenaza con aumentar las diferencias existentes en la En el año 2009, en Costa Rica se comenzó con la
comunidad internacional. [1] implementación del “Reglamento de Tecnologías de
Información”, el cual durante ocho años fue aplicado en las
Por su parte, la dependencia de los sistemas digitales, la entidades supervisadas por la Superintendencia General de
aplicación del teletrabajo (WFH por sus siglas en inglés), el uso Entidades Financieras (SUGEF), dicho reglamento en el año
de sus propios dispositivos para el trabajo remoto (BYOD por 2017 fue actualizado por el Consejo Nacional de Supervisión
sus siglas en inglés), y la ubiquidad del uso de las herramientas del Sistema Financiero (CONASSIF), con el fin de iniciar con
empresariales conllevan amenazas de seguridad cibernética las el proceso de supervisión transversal del mercado financiero
cuales están creciendo de forma exponencial. (en el 2020, los costarricense en materias de tecnologías de información,
ataques de malware y ransomware aumentaron en un 358 % y incorporando a las entidades supervisadas por la
un 435 %, respectivamente), esta situación conlleva a que se Superintendencia General de Valores (SUGEVAL), la
presente una incapacidad de las sociedades para prevenirlas o Superintendencia General de Pensiones (SUPEN) y la
responder a ellas de manera eficaz. Superintendencia General de Seguros (SUGESE). Ver Apéndice
1 Entidades incluidas en el Reglamento General de Gestión de TI.
Día con día los ataques cibernéticos se vuelven más
sofisticados y con un impacto cada vez mayor, situación que En el “Reglamento General de Gestión de TI”, publicado en
provoca tensiones entre la sociedad, las empresas, y los el 2017 se incorporan temas de gobierno y gestión de
gobiernos por la materialización de los riesgos cibernéticos y el tecnologías de información; además como parte de las
acaecimiento de múltiples delitos informáticos, generando en herramientas de apoyo de los procesos de supervisión de las
algunas ocasiones divergencia en lugar de cooperación entre las superintendencias se establece el uso del criterio experto
partes relacionadas, así como en la cadena de suministros de especializado de auditores externos certificados por ISACA.
servicios tecnológicos.
Página 3 de 37
Con estas iniciativas regulatorias relacionadas con TI se seguridad cibernética para salvaguardar la confidencialidad,
comenzó a migrar de un modelo basado en reglas hacia un integridad y disponibilidad de la información y los servicios que
enfoque donde la entidad supervisada es responsable de una brindan las entidades del Sistema Financiero Costarricense
gestión integral de los riesgos del negocio. mediante los mecanismos que permitan establecer una
regulación y supervisión basada en principios y alineada a
marcos de referencia, mejores prácticas y estándares
internacionales.
B. Problema
Para la definición del problema y los objetivos se utilizó Para lograr el fin anterior, se establecieron los objetivos
como herramienta de sistematización la denominada “Técnica siguientes:
del árbol de problemas y objetivos”, ver (Apéndice 2 Técnica
árbol de problemas y objetivos) mediante la cual se determinó el
problema siguiente:
C.1 Objetivo General
Se pueden materializar riesgos de seguridad informática y Presentar una propuesta de diseño de regulación y
seguridad cibernética que podría comprometer la supervisión de riesgos de seguridad informática y seguridad
confidencialidad, integridad y disponibilidad de la información cibernética con el fin de minimizar el impacto de posibles
de las partes interesadas relevantes relacionadas a las entidades amenazas e incidentes que comprometan la estabilidad del
del Sistema Financiero Costarricense causados por ataques Sistema Financiero Costarricense en términos de
cibernéticos, debido a que la regulación vigente podría tener confidencialidad, integridad y disponibilidad de la información
brechas que permitan establecer controles para la mitigación de de las partes interesadas.
los riesgos cibernéticos.
Dentro de la s principales causas se identificaron los aspectos
siguientes: C.2 Objetivos Específicos
C.1 La existencia de un marco regulatorio (SUGEF 14-17) C.1 – O.1 Valorar el marco regulatorio vigente establecido
que no incorpore controles relacionados con la seguridad por el CONASSIF sobre tecnologías de información para
informática, ciberseguridad y otros aspectos prioritarios de las determinar posibles brechas en el diseño de los controles
áreas de tecnologías de información. relacionados con la seguridad informática y ciberseguridad y
establecer la propuesta de diseño del plan de acción para la
C.2 La supervisión de TI realizada a las entidades es escasa mejora regulatoria según corresponda.
en temas de seguridad informática, ciberseguridad y otros
aspectos prioritarios de las áreas de tecnologías de información. C.2 – O.1 Definir una estructura y modelo de supervisión de
TI que incorpore los temas de seguridad informática y
C.3 El enfoque supervisión de TI en las superintendencias
ciberseguridad y demás elementos de supervisión de TI que
puede no estar completamente alineado a l modelo de
permitan realizar una supervisión de forma especializada,
Supervisión Basada en Riesgos y no permite identificar a TI
consolidada, y considerando las particularidades de cada
como actividad significativa, conocer detalladamente los
mercado, para el apoyo a la toma de decisiones del CONASSIF,
riesgos de gestión y los de la s funciones de control relacionadas
los superintendentes y las áreas de supervisión.
con TI.1
C.4 Que los procesos de comunicación con las entidades C.3 – O.1 Alinear el enfoque de supervisión de TI en las
supervisadas no revelen la información necesaria para la toma cuatro superintendencias acorde al marco regulatorio
de decisiones del CONASSIF, los superintendentes y las áreas transversal y el modelo de SBR que permita identificar a TI
de supervisión, en materia de seguridad informática, como actividad significativa, conocer detalladamente los
ciberseguridad y otras áreas prioritarias de TI. riesgos de gestión y los de las funciones de control relacionadas
con TI, incorporando los temas de seguridad informática,
ciberseguridad y demás áreas prioritarias de tecnologías de
C. Objetivos y Esbozo de solución información.
Como resultado de la aplicación de la técnica del Árbol de C.4 – O.1 Fortalecer los mecanismos que faciliten los
problemas y objetivos, se extrae como fin último que los procesos de comunicación con las entidades supervisadas
resultados de la aplicación de la propuesta presentada en este siguiendo el principio de transparencia, y el establecimiento de
trabajo logren generar confianza en la población costarricense y
los mercados internacionales sobre seguridad informática y
1
1. Auditoría; 2. Cumplimiento; 3. Riesgos; 4. Alta
Gerencia ; 5. Órganos de Dirección
Página 4 de 37
relaciones con el fin de obtener la revelación de información sin embargo, este apartado no busca profundizar en aspectos
necesaria para la toma de decisiones. técnicos.
El análisis causa raíz detallado del planteamiento del Se recomienda al lector para obtener conocimientos técnicos
problema; la determinación del fin; así como los objetivos se realizar la lectura de la Norma ISO 27000 Sistemas de gestión
puede observar en el Apéndice 3 Análisis del problemas y objetivos de la seguridad de la información - Visión general y vocabulario
[3]; la Norma ISO 27032 Técnica de seguridad. — Guías para
ciberseguridad [4]; o el documento técnico del FSB
C.3 Esbozo de la Solución denominado Léxico cibernético. [5]
La seguridad de la información es un concepto amplio que
Para atender el problema y sus objetivos en términos usualmente se refiere al conjunto de medidas preventivas y
generales, se realiza un análisis de la situación actual con el fin reactivas que afectan al tratamiento de los datos almacenados o
de identificar las brechas, mejoras regulatorias y prácticas de en tránsito, que permite la preservación de la confidencialidad,
supervisión que permitan incorporar temas de ciberseguridad y integridad y disponibilidad de la información, de cualquier
otros aspectos prioritarios de TI. En el gráfico se presentan los amenaza y de cualquiera que tenga intenciones maliciosas.
elementos más relevantes a ser tratados en este artículo, tal
como se detalla a continuación: La confidencialidad, la integridad y la disponibilidad a veces
se conocen como la tríada de seguridad de la información que
Gráfico 1 Diagrama general de los elementos considerados y actualmente ha evolucionado incorporando nuevos conceptos
desarrollados en este artículo tales como la autenticidad, la responsabilidad, el no repudio y
la confiabilidad.
Marcos y modelos de
Riesgos cibernéticos supervisión
Conceptos relevantes
– caracterización y
internacional sobre
La seguridad de la información debe ser considerada desde
relación con otros
riesgos
ciberseguridad y la base de un análisis y evaluación de riesgos teniendo en cuenta
ciberresiliencia
cualquier factor que pueda actuar como un riesgo o una
amenaza para la confidencialidad, integridad y disponibilidad
Modelo regulatorio y
Marcos, estándares y de los datos.
mejores prácticas
de supervisión del Ciberseguridad a
nivel país (Costa Rica) sobre seguridad de la Por otro lado, podemos mencionar el término seguridad
Sistema Financiero información y
Costarricense ciberseguridad. informática o seguridad de aplicaciones, considerada como una
disciplina dentro de la seguridad de la información que se
encarga de proteger de los cibercriminales la integridad y la
NIST y el Marco de ISO 27032 y el Marco
Modelos de
Supervisión y el
privacidad de la información almacenada y utilizada en los
Gestión de TI de Gestión de TI Marco de Gestión de sistemas informáticos.
TI
En este punto, tenemos que mencionar el término de
ciberseguridad, el cual está contemplado dentro de la seguridad
de la información, y se refiere propiamente a la práctica de
Propuesta defender, con tecnologías o pericias ofensivas, las
computadoras, los servidores, los dispositivos móviles, los
sistemas electrónicos, redes y los datos en tránsito o reposo de
ataques maliciosos.
Fuente: Elaboración propia. (2022).
Ante cualquier evento o incidente, indiferentemente de su
origen; las organizaciones deben de tener la capacidad y
flexibilidad de sobreponerse; implementando una serie de
II. CONCEPTOS GENERALES acciones antes, durante y después del evento para resurgir de la
adversidad, adaptarse y recuperarse, es decir ser resilientes.
Para lo anterior, las organizaciones implementan políticas,
En esta sección, se abordan una serie de conceptos mínimos procesos y procedimientos para garantizar la continuidad de las
para facilitar la compresión del documento, con el fin de operaciones, así como los servicios de negocio y de TI,
orientar al lector no especializado. incluyendo los servicios de seguridad. El término continuidad
de la seguridad de la información se utiliza para describir el
proceso que busca asegurar de forma razonable la
Cabe mencionar que existe un interminable número de confidencialidad, integridad y disponibilidad de la información
términos, nemotécnicos, y conceptos relacionados a las cuando un incidente ocurre o una amenaza se materializa. Con
tecnologías de información y en particular a la ciberseguridad, cierta frecuencia se interpreta este punto como una necesidad
Página 5 de 37
de contar con planes de continuidad del negocio, asumiendo 4. Análisis del impacto; generalmente el impacto de los
como requisito la implementación de un plan de continuidad del riesgos cibernéticos se analiza de forma independiente,
negocio integral y el desarrollo de planes de contingencia y sin embargo, un evento de riesgo cibernético no está
planes de recuperación ante desastres. aislado, a menudo desencadena una serie de eventos
consecuentes; por tanto, la evaluación del impacto del
Entonces, ¿Qué significa realmente la continuidad de la
posible riesgo cibernético debe considerarse dentro de
seguridad de la información? La continuidad de la seguridad de
un marco más amplio de gestión de riesgos a nivel
la información significa en principio garantizar que tengamos
organizacional.
la capacidad de mantener las medidas de protección de la
5. Principales tipos de ataque; existen extensa
información cuando ocurra un incidente. En este sentido se debe
cantidad de tipos de ataques, sin embargo, entre los
considerar que la continuidad de la seguridad de la información
cinco principales tipos identificados por Marsh y el
está contemplada en la continuidad del negocio.
WEF, están: Ransomware; robo de datos; ataque a
Finalmente, mencionamos el término de ciberresiliencia, terceros; exposición de información por
como la capacidad para prepararse, responder y recuperarse de vulnerabilidades de software; y la filtración de datos por
ataques cibernéticos y violaciones de datos, mientras la ex – empleados.
organización continúa operando de manera efectiva, situación
que debe evaluarse dentro de la continuidad de los procesos y
B. Relación con otros Riesgos
servicios del negocio y TI, mediante el establecimiento de
escenarios de riesgos que busquen mitigar y atender los riesgos El riesgo cibernético tiene una convergencia con los riesgos
cibernéticos. operativos, legales y regulatorios, reputacional y sistémico, los
cuales se detallan a continuación: [6]
III. RIESGOS CIBERNÉTICOS

B.1 Riesgo Operativo
Cuando nos referimos a riesgo operativo asociado a
En esta sección, se abordan las características y aspectos más ciberseguridad, debemos considerar eventos de riesgos como:
relevantes relacionados con los riesgos cibernéticos y su a) Fraude (Interno/Externo),
convergencia con otros riesgos gestionados a nivel de negocio. b) Desvío deliberado de una transferencia,
c) Pérdida financiera por la denegación de servicios,
d) Interrupción de operaciones vinculada a un virus
A. Concepto y Caracterización informático o una amenaza de rescate.
En su forma más sencilla, cuando hablamos de riesgo
cibernético, nos referimos a la combinación de la probabilidad B.2 Riesgo Legal y Regulatorio
de ocurrencia de ciberincidentes y su impacto, sin embargo, es
Cuando nos referimos a riesgo legal y regulatorio asociado a
de vital importancia conocer la naturaleza del riesgo cibernético
ciberseguridad, debemos considerar eventos de riesgos como:
y los aspectos que lo caracterizan, los cuales mencionamos a
continuación: a) Violación de la privacidad del cliente o de la
institución,
1. Origen; el riesgo cibernético puede ser promovido desde b) Pérdida de confidencialidad que puede resultar en
la organización o ser una amenaza externa.
sanciones legales o regulatorias.
2. Causas; existen dos causas fundamentales: La primera
causa es la intencional, ya sean deliberadas, o
maliciosas. La segunda causa son las no intencionales, B.3 Riesgo Sistémico
las cuales podrían estar vinculadas a una falla , o mal Cuando nos referimos a riesgo sistémico asociado a
funcionamiento del Hardware o Software que genera ciberseguridad, debemos considerar eventos de riesgos como:
vulnerabilidades; o una configuración incorrecta de
componentes de TI. a) Pérdida a gran escala de la integridad de los datos
que puede afectar las operaciones de partes
3. Actores; muchas son las partes que pueden estar
relacionadas,
interactuando en la incidencia de los riesgos
cibernéticos, cada uno con motivaciones e interés b) Problemas a gran escala con proveedores de la
distintos entre las que podemos señalar: El personal no cadena de suministros de servicios tecnológicos,
capacitado, descontento o deshonesto; los competidores; c) Problemas en transferencias o compensación
interbancaria,
los delincuentes internacionales; el crimen organizado;
d) Pérdida sistémica del acceso del cliente a los
los hacktivistas con motivos sociales o políticos; o las
empresas patrocinadas por gobiernos para robar secretos servicios.
de Estado, entre otras.
Página 6 de 37
B.4 Riesgo Reputacional recomendaciones sobre prácticas de seguridad cibernética
Cuando nos referimos a riesgo reputacional asociado a relacionada con: 1. Gobierno; 2. Identificación; 3. Protección;
ciberseguridad, debemos considerar eventos de riesgos como: 4. Detección; 5. Respuesta; 6. Recuperación; 7. Pruebas; 8.
Conciencia de la situación; y 9 Aprendiendo y evolucionando.
a) Pérdida de la confianza pública, [8]
b) Pérdida financiera importante,
c) Sanción regulatoria ,
d) Interrupción prolongada de los servicios.
B.2 Banco Internacional de Pagos y la Organización
Internacional de Comisiones de Valores
IV. ENFOQUES, MARCOS Y MODELOS DE SUPERVISIÓN Y El BIS y la Organización Internacional de Comisiones de
REGULACIÓN INTERNACIONAL SOBRE CIBERSEGURIDAD Valores (La IOSCO por sus siglas en inglés), en abril del año
Y CIBERRESILIENCIA 2016 publicó el documento denominado: “Orientación sobre
resiliencia cibernética para infraestructuras de mercados
financieros”, que proporciona orientación complementaria con
En esta sección, se abordan los marcos de supervisión y sus principios, sobre: 1. Contexto de la gobernanza; 2. Marco
regulación internacional sobre ciberseguridad y ciberresiliencia para la gestión integral de riesgos; 3. Finalidad de la liquidación;
que serán considerados como referentes para la valoración del 4. Riesgo operacional; 5 Enlaces con el Fondo Monetario
modelo regulatorio vigente establecido por el CONASSIF. Internacional (FMI). Esta guía proporciona detalles
complementarios relacionados con los preparativos y las
medidas que las entidades deben tomar para mejorar sus
capacidades de resiliencia cibernética con el objetivo de limitar
A. Enfoques Regulatorios
los riesgos crecientes y las amenazas que plantean a la
El incremento de ataques cibernéticos de alto perfil contra estabilidad financiera.
instituciones financieras y gobiernos han centrado la atención
en la necesidad de fortalecer la seguridad cibernética, en este
sentido el Banco Internacional de Pagos (El BIS por sus siglas
en inglés) a través de los estudios realizados por el Instituto de B3. El G7
Estabilidad Financiera (El FSI por sus siglas en inglés) nos El G7 2 en octubre de 2016 publicó el documento
revela que existen dos enfoques para abordar los temas de denominado: “Elementos fundamentales de ciberseguridad para
ciberseguridad, el primero está orientado a que por su naturaleza el sector financiero”, el cual establece ocho bloques de
se puede regular el riesgo cibernético con la regulación existente construcción: 1. Estrategia y Marco; 2. Gobernanza; 3.
relacionada con la tecnología y/o el riesgo operativo; el segundo Evaluación de riesgos y controles; 4. Monitoreo; 5. Respuesta;
enfoque por su parte, necesita una estructura regulatoria 6. Recuperación; 7. Intercambio de información; 8. Aprendizaje
específica para lidiar con la naturaleza del riesgo cibernético, continuo. El G7 propone que considerando estos bloques de
dadas las crecientes amenazas que resultan de un sector conocimiento las entidades financieras pueden diseñar e
financiero cada vez más digitalizado. [7] implementar su estrategia de ciberseguridad. [9].
B. Marcos y Modelos B.4 Autoridad Monetaria de Hong Kong

A nivel internacional, se han presentado diferentes iniciativas La Autoridad Monetaria de Hong Kong (La HKMA por sus
para el abordaje de la supervisión y regulación relacionados con siglas en inglés), publicó en diciembre del 2016 en su sitio web
temas de ciberseguridad, entre los que podemos mencionar los la “Iniciativa de Fortalecimiento de la Ciberseguridad (CFI por
siguientes: sus siglas en inglés), con miras a aumentar la resiliencia
cibernética del sistema bancario de Hong Kong. La iniciativa se
sustenta en tres pilares: 1. Marco de Evaluación de la
Resiliencia Cibernética; 2. Programa de Desarrollo Profesional;
B.1 Asociación Internacional de Supervisores de Seguros 3. Plataforma de intercambio de inteligencia cibernética. [10]
La Asociación Internacional de Supervisores de Seguros
(IAIS por sus siglas en inglés), publicó en abril del 2016 el
“Documento temático sobre riesgo cibernético al sector de
seguros”. Este documento contiene una serie de
2
El G7 es la abreviatura del Grupo de los Siete, una grandes del mundo: Canadá, Francia, Alemania, Italia, Japón,
organización de líderes de algunas de las economías más Reino Unido y Estados Unidos.
Página 7 de 37
B.5 Toronto Centre B.9 Superintendencia Financiera de Colombia
El Toronto Centre, publicó en diciembre de 2018 el La Superintendencia Financiera de Colombia, en noviembre
documento denominado: “Supervisión del riesgo de seguridad del 2020 publicó la Circular 33 sobre los “Requerimientos
cibernética”, el cual contiene una serie de aspectos sobre mínimos para la gestión de la seguridad de la información y la
ciberseguridad, entre los que mencionamos: 1. Caracterización ciberseguridad”. Dentro de su marco se detallan controles
del riesgo; 2. Elementos y enfoques; 3. Marcos y procesos; 4. relacionados con: 1. Obligaciones generales; 2. Etapas de la
Gobernanza; 5. Identificación de riesgos; 6. Controles; 7. ciberseguridad; 3. Reporte e intercambio de información con la
Informes e intercambio de información. super intendencia. [14]
B.6 Autoridad Bancaria Europea V. MARCOS, ESTÁNDARES Y MEJORES PRÁCTICAS SOBRE

La Autoridad Bancaria Europea (EBA por sus siglas en SEGURIDAD Y CIBERSEGURIDAD
inglés), publicó en abril del 2019 el documento denominado:
“Directrices sobre gestión de riesgos de TIC y de seguridad”,
dirigidas a las entidades financieras. El documento contiene En esta sección, se abordan una serie de marcos, estándares y
lineamientos agrupados en ocho títulos, relativos a: 1. Principio mejores prácticas internacionales, los cuales son utilizados
de proporcionalidad; 2. Gobernanza y estrategia; 3 Marco de como línea base en los cuerpos normativos de cada legislación,
gestión de riesgos; 4. Seguridad de la información; 5 Gestión de lo anterior, en concordancia con la existencia de factores
las operaciones de TIC; 6 Gestión de proyectos y de cambios; preexistentes que faciliten el enfoque holístico o el enfoque
7. Continuidad de negocio; 8 Gestión de la relación con los independiente del diseño regulatorio y de supervisión.
usuarios de los servicios de pago. [11]
A. Estándares del NIST

B.7 Consejo de Estabilidad Financiera El Instituto Nacional de Estándares y Tecnología (El NIST por
sus siglas en inglés) fue fundado en 1901 y en la actualidad
El Consejo de Estabilidad Financiera (El FSB por sus siglas
forma parte del Departamento de Comercio de los Estados
en inglés) en octubre del año 2020 publicó el documento
Unidos. [15]
denominado: “Prácticas efectivas para incidentes cibernéticos.
Respuesta y Recuperación. Reporte Final”, con el fin de mejorar Se encarga de desarrollar normas de uso público que
la resiliencia cibernética para promover la estabilidad contemplan aspectos desde la red eléctrica inteligente; registros
financiera, proporcionando herramientas con un conjunto de electrónicos de salud; relojes atómicos, nanomateriales
cuarenta y nueve prácticas efectivas, las cuales fueron avanzados; chips informáticos; seguridad de la información y
estructuradas en siete componentes: 1. Gobernanza; 2. ciberseguridad; entre otros. [16]
Planificación y planeación; 3. Análisis; 4. Mitigación; 5.
Restauración y recuperación; 6. Coordinación y comunicación; El NIST ha desarrollado una serie de herramientas que se
7. Mejora. Estos componentes están orientados a ser ejecutados pueden utilizar como referencia en materia de seguridad
antes, durante y después de un incidente de ciberseguridad. [12] informática, ciberseguridad y privacidad de los datos, entre las
que podemos mencionar un listado no exhaustivo las siguientes:
1. Cybersecurity Framework (NIST CSF - r1.1)
B.8 Parlamento Europeo y del Consejo sobre la resiliencia 2. Controles de seguridad y privacidad (NIST SP 800-53
operativa digital del sector financiero r4 y r5)
3. Guía de Recuperación de Eventos de Ciberseguridad
El Parlamento Europeo y del Consejo sobre la resiliencia
(NIST.SP.800-184)
operativa digital del sector financiero, en setiembre del 2020,
4. Línea de base básica de la capacidad de ciberseguridad
emite el reglamento que incorpora entre otros pero no limitados
de dispositivos de Internet de las cosas (IoT) (NIST IR
los aspectos siguientes: 1. Disposiciones generales; 2.
8259 A)
Gobernanza y organización; 3. Marco de gestión de riesgos de
5. Línea de base básica de capacidad de soporte no
TIC; 4. Incidentes relacionados con las TIC (gestión,
técnico de IoT (NIST IR 8259 B)
clasificación e información); 5. Pruebas de resiliencia operativa
6. NIST Privacy Framework, Version 1.0
digital; 6. Gestión de riesgos de terceros relacionados con TIC;
7. Marco de desarrollo de software seguro (SSDF) del
7. Marco de supervisión de proveedores de terceros de servicios
NIST (NIST SP 800-218)
esenciales de TIC; 8. Acuerdos de intercambio de información.
8. Protección de la información no clasificada controlada
[13]
(CUI) (NIST SP 800-171 r1 y r2)
9. Guía de divulgación de vulnerabilidades (NIST SP
800-216)
Página 8 de 37
10. Protección y respuesta al ransomware: Las normas ISO son acordadas internacionalmente por
a. Ransomware Risk Management: A expertos y cubren una amplia gama de actividades. A diferencia
Cybersecurity Framework Profile (NIST IR de los estándares del NIST, para el uso de las normas de la ISO
8374 r1) se debe de pagar por cada estándar. La adquisición de cada
b. Guía de inicio rápido: Introducción a la norma autoriza su uso de forma exclusiva al titular que realiza
gestión de riesgos de ciberseguridad | la adquisición y prohíbe su reproducción en cualquier medio.
ransomware.
Las organizaciones pueden confiar en la familia de normas
Adicionalmente, el NIST ha desarrollado una serie de recursos ISO/IEC 27000, para proteger los activos de información. Entre
sobre áreas prioritarias de TI, entre las que podemos mencionar las más relevantes para esta investigación, están:
un listado no exhaustivo las siguientes: 1. ISO 27000. Técnicas de Seguridad (SGSI).
1. Guía para la planificación de la contingencia (NIST SP Generalidades y vocabulario
800-34 r1) 2. ISO 27001. Requisitos SGSI. Anexo A. Enumera los
2. Gestión de riesgos de la cadena de suministro de objetivos de control y controles que desarrolla la ISO
ciberseguridad (NIST SP 800-161 r1) 27002
3. DevSecOps (Desarrollo de aplicaciones con código 3. ISO 27002. Guía de buenas prácticas describe los
seguro para el soporte de las operaciones del negocio). objetivos de control y controles recomendables en
4. Mediciones para la seguridad de la información (NIST cuanto a seguridad de la información. No es
SP 800-55 r1. r2) certificable. Contiene 39 objetivos de control y 133
5. Seguridad de tecnología operativa (OT) (NIST SP controles, agrupados en 11 dominios
800-82 r3) 4. ISO 27003. Sistema de Gestión de la Seguridad de la
6. Marco de desarrollo de software seguro (SSDF) (NIST Información (SGSI). Guía de implantación.
SP 800-218 r1.1) 5. ISO 27004. Métricas. Gestión de la Seguridad de la
Información.
De los estándares listados anteriormente, el más relevante para 6. ISO 27005. Gestión de riesgo de seguridad de la
alcanzar los derroteros establecidos en este artículo es el Marco información.
de Ciberseguridad (NIST CSF); el cual se fundamenta en tres 7. ISO 27006. Requisitos para acreditación de entidades
elementos base: 1. El núcleo; conformado por las funciones de: de auditoría y certificación de SGSI.
(Identificar, proteger, detectar, responder, y recuperar), con sus 8. ISO 27007. Guía de auditoría de un SGSI.
respectivas categorías y sub categorías; 2. Los niveles de 9. ISO 27032. Guías para la ciberseguridad
implementación del marco; van desde el más débil (parcial)
hasta el más fuerte (aceptable) asociados a tres atributos: el De las normas listadas anteriormente, el más relevante a ser
riesgo, el programa de riesgos y la externalización; 3. El perfil considerado en esta investigación es la ISO 27032. Guías para
del marco; es una herramienta que permite alinear las funciones, la ciberseguridad. Esta norma provee orientación para mejorar
categorías y subcategorías con los requisitos empresariales, la el estado de la ciberseguridad, delineando los aspectos únicos
tolerancia al riesgo y los recursos de la organización, así como de esta actividad y sus dependencias en otros dominios de
definir brechas. seguridad, en particular: seguridad de las aplicaciones conocida
también como seguridad informática; seguridad de redes;
Adicionalmente, el NIST CSF incluye aspectos sobre las seguridad de Internet, y protección de infraestructuras de
relaciones de la cadena de suministro cibernética, y presenta una información críticas (CIIP por sus siglas en inglés). Además,
serie de pasos para establecer o mejorar un programa de cubre la línea base de prácticas de seguridad para las partes
ciberseguridad que considera: 1. Priorización y Alcance; 2. interesadas en el Ciberespacio. [18]
Orientación; 3. Crear un perfil actual; 4. Realizar una
evaluación de riesgos; 5. Crear un perfil objetivo; 6.
Determinar, analizar y priorizar brechas; 7. Implementar planes C. HITRUST CSF (Health Information Trust Alliance -
de acción. Cybersecurity Framework)
El HITRUST CSF es un conjunto prescriptivo de controles
que cumplen con los requisitos de la serie ISO/IEC 27000 y la
B. ISO/IEC Familia de Normas 27000 Ley de Portabilidad y Responsabilidad del Seguro Médico
La Organización Internacional de Normalización es una (HIPAA por sus siglas en inglés). Desde su fundación en 2007,
organización no gubernamental e independiente que se dedica HITRUST ha definido programas para salvaguardar
a crear estándares internacionales industriales y comerciales; la información confidencial, y gestiona r el riesgo de la
asociación está integrada por 167 organizaciones nacionales de información. HITRUST en primera instancia se orientó al área
normalización y fue fundada el 23 de febrero de 1947. [17] de la salud, sin embargo, actualmente abarca diversas industrias
e incorpora los elementos de la cadena de suministro de
terceros.
Página 9 de 37
E.1 Objetivos de control
Para que la información y la tecnología contribuyan a los
D. Cloud Security Alliance (CSA) – Cloud Controls Matrix objetivos de la empresa, se deben lograr una serie de objetivos
(CCM) de control orientados al gobierno y gestión. En COBIT un
Esta organización se dedica a definir y crear conciencia sobre objetivo de gobierno o gestión está relacionado con un proceso
las mejores prácticas para ayudar a garantizar un entorno seguro (con un nombre idéntico o similar) y una serie de componentes
de computación en la nube, aprovechando la experiencia en la para contribuir a lograr el objetivo, y se agrupan en cinco
materia de los profesionales de la industria, asociaciones, dominios. Los dominios se nombran mediante verbos que
gobiernos y sus miembros corporativos e individuales para expresan el propósito clave y las áreas de actividad de los
ofrecer investigación, educación, certificación, eventos y objetivos que los contienen:
productos específicos de seguridad en la nube.
Los objetivos de gobierno se agrupan en el dominio Evaluar,
La Matriz de Controles en la Nube (CCM por sus siglas en Dirigir y Monitorizar (EDM por sus siglas en inglés). En este
inglés) es un marco de control de ciberseguridad para la dominio, el órgano de gobierno evalúa las opciones
computación en la nube diseñado por la CSA. estratégicas, guía a la alta gerencia con respecto a las opciones
Se compone de 197 objetivos de control que se estructuran estratégicas elegidas y monitoriza el logro de la estrategia.
en 17 dominios que cubren todos los aspectos clave de la Los objetivos de gestión se agrupan en cuatro dominios:
tecnología en la nube. Se puede utilizar como una herramienta
para la evaluación sistemática de una implementación en la 1. Alinear, Planificar y Organizar (APO por sus siglas en
nube y proporciona orientación sobre qué controles de inglés) aborda la organización general, estrategia y
actividades de apoyo para la información y la
seguridad deben ser implementados y por cuál actor dentro de
tecnología.
la cadena de suministro de la nube. [19]
2. Construir, Adquirir e Implementar (BAI por sus siglas
en inglés) se encarga de la definición, adquisición e
E. COBIT | Objetivos de Control para Tecnologías de la implementación de soluciones y su integración en los
procesos de negocio.
Información – ISACA®
3. Entregar, Dar Servicio y Soporte (DSS por sus siglas
La Asociación de Auditoría y Control de Sistemas de en inglés) aborda la entrega operativa y el soporte de
Información (ISACA por sus siglas en inglés), actualmente está los servicios de información y tecnología, incluida la
integrada por más de 165.000 profesionales en las disciplinas seguridad.
de auditoría, riesgo, seguridad y gobierno de SI/TI que residen 4. Monitorizar, Evaluar y Valorar (MEA por sus siglas
y trabajan en más de 180 países. [20] en inglés) aborda la monitorización del rendimiento y
ISACA ha desarrollado una serie de recursos como: Marcos, la conformidad con los objetivos de rendimiento
estándares y modelos de referencia sobre tecnologías de internos, los objetivos de control interno y los
información; auditoría de TI; riesgos de TI; seguridad requisitos externos.
cibernética entre otros. Dentro de estos marcos de referencia
está el denominado “Objetivos de Control para la Información E.2 Componentes del sistema de gobierno
y Tecnología Relacionada” (COBIT por sus siglas en inglés), el Para satisfacer los objetivos de gobierno y gestión, cada
cual es un marco de trabajo para el gobierno y la gestión de las empresa necesita establecer, personalizar y sostener un sistema
tecnologías de la información dirigido a toda la empresa. Este de gobierno creado a partir de una serie de componentes, los
marco de referencia considera diversas partes interesadas, cuales son factores que, de forma individual y colectiva,
como: La función o gestión de TI; órgano de dirección; contribuyen al buen funcionamiento del sistema de gobierno de
auditoría; riesgos; cumplimiento; alta gerencia, entre otros. la empresa en lo relacionado con las tecnologías. Estos
COBIT es utilizado para evaluar, orientar y supervisar el componentes interactúan entre sí, y dan lugar a un sistema de
gobierno de TI, por otro lado, en temas de gestión permite gobierno holístico de negocio y de TI. Los más comunes son los
alinear, planificar, organizar, construir, adquirir, implementar, procesos. Sin embargo, los componentes de un sistema de
entregar, dar servicio, dar soporte, monitorear, evaluar y valorar gobierno de TI incluyen también estructuras organizativas;
la gestión; con esto se hace una clara distinción entre estas dos políticas y procedimientos; elementos de información; cultura
disciplinas que abarcan diferentes tipos de actividades, las y comportamiento; habilidades y competencias; así como
cuales requieren distintas estructuras organizativas con servicios, infraestructura y aplicaciones.
propósitos diferentes.
Página 10 de 37
La política de seguridad de la información es un elemento
primordial de la ciberseguridad y el gobierno orientando la
E.3 Áreas prioritarias
intención del Órgano de Dirección o Consejo de
Un área prioritaria describe un determinado tema, dominio o Administración mediante el establecimiento de alto nivel de los
problema que puede ser abordado por una colección de requisitos, funciones y responsabilidades de todos los
objetivos de gobierno y gestión y sus componentes miembros de la organización, junto con los comportamientos
relacionados. Algunos de los ejemplos de áreas prioritarias esperados en diversas situaciones.
incluyen pequeñas y medianas empresas, ciberseguridad,
transformación digital, computación en la nube, privacidad,
portabilidad, DevOps 3 , entre otros. La cantidad de áreas E.5 Gestión de TI
prioritarias es prácticamente ilimitada. Esto hace que las
La gestión de TI tiene que ver con planificar, construir,
tecnologías de información sean dinámicas y requieran un ritmo
ejecutar y monitorear actividades en línea con la dirección
de adaptación más acelerado. Mediante el uso de COBIT se
establecida por el órgano de gobierno para alcanzar los
pueden añadir nuevas áreas prioritarias conforme sea necesario
objetivos de la empresa.
o conforme los expertos y especialistas en la materia
contribuyan al modelo COBIT. [21] La gestión es responsabilidad de la gerencia , la cual debe
considerar el establecimiento y gestión de los sistemas
incluyendo los sistemas de gestión de seguridad y la
E.4 Gobierno de TI implementación y gestión de los servicios de seguridad de
El gobierno de TI busca asegurar que las necesidades de las información, así como sus respectivos controles técnicos, los
partes interesadas se evalúan para determinar objetivos cuales deben abarcar la seguridad informática o de aplicación,
empresariales equilibrados y acordados dentro de un riesgo la ciberseguridad, la seguridad de red, la seguridad de la
aceptable, con el fin de brindar una dirección a través de la Internet, entre otros aspectos; dentro del ámbito de la
priorización y la toma de decisiones, alineado a la gobernanza organización.
corporativa. Cabe destacar que el gobierno de TI es un
componte del gobierno corporativo. [22]
E.6 Enfoque de la ciberseguridad
La estructura y gobierno de cada organización varían según
Tal como se indicó anteriormente, la ciberseguridad se
el tipo de negocio, tamaño, industria, cultura, normas legales,
establece como un área prioritaria para COBIT, en general, hay
entre otros. Sin embargo, todas las organizaciones tienen la
cuatro enfoques diferentes para la implementación de la
responsabilidad y el deber de proteger sus activos y
ciberseguridad, a saber:
operaciones, incluyendo su infraestructura de TI y la
información. En el más alto nivel, esto se conoce generalmente 1. Basado en cumplimiento. Se fundamenta en
como gobierno, gestión del riesgo y cumplimiento. Algunas reglamentos o normas para determinar las
entidades implementan estas tres áreas de manera integrada, implementaciones de seguridad. Los controles se
mientras que otras pueden tener enfoques segregados. Por otro aplican con independencia de su aplicabilidad o
lado, debido a que la ciberseguridad es parte de la seguridad de necesidad, lo cual a menudo conduce a una actitud de
la información, esta debe abarcar los roles, funciones y llevar “lista s de control” hacia la seguridad.
responsabilidades de la ciberseguridad en todos los niveles de 2. Basado en riesgos: Se basa en identificar el riesgo
la organización. [23] único al que una organización se enfrenta y el diseño
e implementación de los controles de seguridad para
El gobierno es responsabilidad del Órgano de Dirección o
hacer frente a ese riesgo considerando la tolerancia y
Consejo de Administración; y se debe enfocar en desarrollar un
necesidades de negocio.
programa de gobierno que considere entre otros, pero no
3. Hibrido. Se fundamenta en una combinación del
limitados los objetivos siguientes:
enfoque basado en cumplimiento y el enfoque basado
1. Proporcionar orientación estratégica. en riesgos. Este enfoque es implementado
2. Asegurar que se cumplan los objetivos. generalmente por entidades con un nivel de madurez
3. Determinar si el riesgo se está gestionando avanzado que han desarrollado marcos integrales de
apropiadamente. gobierno y gestión de TI.
4. Verificar que los recursos de la organización se 4. Ad hoc. Es un enfoque donde la seguridad se
están utilizando de manera responsable. implementa sin fundamento o criterio particular. Las
implementaciones ad hoc pueden ser impulsadas por
Las organizaciones con el fin de lograr los objetivos de
la comercialización del proveedor, o pueden reflejar
gobierno pueden utilizar herramientas tales como las políticas.
3
Conjunto de prácticas que agrupan el desarrollo de software de vida del desarrollo de software y proporcionar una entrega
y las operaciones de TI. Su objetivo es hacer más rápido el ciclo continua de alta calidad.
Página 11 de 37
insuficiente experiencia en la materia, conocimiento o Para los fines de esta investigación y la propuesta, se extrae
capacitación en el diseño y aplicación de salvaguardas el objetivo seis sobre la gestión de riesgos y en particular la
de la información. línea estratégica seis-punto-dos, detallados a continuación:
Objetivo No. 6 Gestión de riesgos. Este objetivo incluye
E.7 Riesgos de terceros cinco líneas estratégicas.
En el entorno de la seguridad de la información y en LE. 6.2 Implementación de mejores prácticas y
particular en ciberseguridad, la externalización de funcionesdel requerimientos mínimos de seguridad en el sector financiero.
negocio o de TI puede ser difícil de controlar, aún más cuando
los terceros involucrados a su vez realizan externalización. Esta
situación conlleva al surgimiento de nuevos escenarios de
VII MODELO REGULATORIO Y DE SUPERVISIÓN (COSTA
riesgos ya que las organizaciones tienen diferentes culturas de
seguridad y tolerancias al riesgo. Es importante entender los RICA)
riesgos de terceros y los riesgos de la cadena de elementos
externalizados con el fin de entender el riesgo sistémico que se
puede presentar cuando se dan intercambio de información y En esta sección, se abordan el desarrollo historio de la
regulación en temas de tecnologías de información, así como el
acceso a la red, ya que esto se refiere a la ciberseguridad, los
modelo regulatorio plasmado a través del Reglamento General
cuales se abordan a través de varios procesos de gestión de
de Gestión de TI y el modelo de Supervisión Basada en Riesgos.
COBIT.
A. Desarrollo histórico del modelo de supervisión del

VI CIBERSEGURIDAD A NIVEL PAÍS (COSTA RICA)
Sistema Financiero Costarricense sobre tecnologías de
información y seguridad
En esta sección, se abordan temas relacionados con la La supervisión en temas de tecnologías de información inicia
estrategia nacional de ciberseguridad en Costa Rica. propiamente a partir del año 2002, cuando el CONASSIF
publicó la “Normativa de Tecnología de Información para las
entidades fiscalizadas por la Superintendencia General de
En marzo del año 2012 se estableció la creación del Centro Entidades Financieras”, la cual se utiliza ba para evaluar la
de Respuesta de Incidentes de Seguridad Informática (CSIRT- administración, los sistemas, los equipos, la seguridad, la
CR) el cual está adscrito al Ministerio de Ciencia, Tecnología y utilización y los controles aplicados al Área de Tecnología de
Telecomunicaciones (MICITT), y tiene como objeto ser el ente Información de las entidades fiscalizadas, con el fin de velar por
coordinador de la ciberseguridad y seguridad de la información la estabilidad y la eficiencia del sistema financiero. [26]
nacional, que busca coordinar acciones para el mejoramiento
En el año 2009, la normativa evoluciona a lo que se conoce
general de la seguridad cibernética e informática, así como el como el Acuerdo SUGEF 14-09 “Reglamento sobre la Gestión
apoyo a las autoridades administrativas y judiciales en los casos de la Tecnología de Información”, lo anterior, con el fin de
que corresponda para la investigación y procesamiento de
atender las recomendaciones emitidas por el Comité de Basilea,
perpetradores de delitos cibernéticos e informáticos. [24]
particularmente las disposiciones de Basilea II sobre gestión de
Por su parte, dentro de los esfuerzos realizado por el los riesgos operativos en su dimensión tecnológica. Además,
MICITT, en el año 2017 se publica la Estrategia Nacional de considera la proliferación de amenazas y eventos no deseados;
Ciberseguridad de Costa Rica 2017-2021, vigente a la fecha, la así como el aumento de la dependencia y el potencial que
cual indica que las innovaciones y el descubrimiento constante poseen las tecnologías para cambiar drásticamente los procesos
son la clave para la supervivencia y el crecimiento de un pueblo, de negocio. [27]
y se deben desarrollar iniciativas para tener un mundo digital
El Acuerdo SUGEF 14-09 incorpora entre otros aspectos los
más seguro, que a futuro aporte grandes beneficios, generando
siguientes:
confianza en el uso de las tecnologías digitales. [25]
1. Implementación de un Marco de Gestión de
La estrategia Nacional de Ciberseguridad desarrollada por el
Tecnologías de Información, basado de COBIT 4.
MICITT busca alcanzar los Objetivos para el desarrollo
2. Revelación de forma anual del perfil tecnológico, que
sostenible 2030 de la ONU, así como al Plan Nacional de es una descripción de la estructura organizacional, los
Desarrollo y el Plan Nacional de Telecomunicaciones; e procesos y la infraestructura de TI de la entidad
incorpora el desarrollo de ocho objetivos, con sus respectivas
supervisada, así como, del nivel de automatización de
líneas estratégicas
sus procesos de negocio y de gestión del riesgo.
3. Incorpora el criterio experto por parte de terceros a
través de revisiones externas independientes
ejecutadas por auditores certificados CISA.
Página 12 de 37
4. Define un modelo de calificación taxativo y 1. Establecer las estructuras, funciones y modelos de
evaluación de los procesos basado en el modelo de gobierno y gestión de TI.
capacidad de madurez (CMMI por sus siglas en 2. Seleccionar e implementar los procesos de gobierno
inglés). y gestión de TI aplicables a su modelo de negocio.
Para el año 2017, el CONASSIF publica el Acuerdo SUGEF Por su parte, dentro del SBR, permite a las superintendencias
14-17 “Reglamento General de Gestión de TI”, lo anterior los siguientes aspectos:
motivado por:
1. Solicitar la evaluación del auditor externo de TI, la
1. Cambios en las mejores prácticas a nivel internacional cual deja de ser una lista taxativa de controles y se
sobre tecnologías de información. convierte en una serie de criterios para cada
2. COBIT en la versión 5 incorpora el gobierno, y recalca proceso, los cuales deben ser valorados desde sus
la importancia de la separación de la gestión operativa fortalezas, debilidades, riesgos y oportunidades de
de la gobernanza. mejora.
3. Una necesidad de aumentar el control por los riesgos 2. Remitir un Reporte de Supervisión que incorpore
de una inadecuada gestión operativa que puede los resultados de la auditoría externa de TI, alineado
repercutir negativamente en la continuidad de las a la gestión y las funciones de control de TI del
operaciones de las entidades financieras. modelo de SBR.
4. Los posibles impactos patrimoniales y 3. Requerir planes de acción para atender los riesgos
concomitantemente, la afectación de los clientes de las acordes a la propia realidad de las entidades en cada
entidades y el sistema financiero por la materialización uno de sus mercados.
de riesgos sistémicos.
Adicionalmente, la estrategia de supervisión busca generar,
bajo un esquema de supervisión transversal, integrada y
coordinada, mejoras en el nivel de la gestión de la tecnología de
B. Reglamento General de Gestión de TI Acuerdo SUGEF
información y sus riesgos asociados, ante los retos que impone
14-17 un ambiente financiero competitivo e innovador, permitiendo la
B.1 Aspectos generales coordinación entre superintendencias cuando la unidad de TI,
El reglamento SUGEF 14-17, tiene como objetivo establecer la gobernanza, la gestión o la externalización de TI se realice de
los requerimientos mínimos para la gestión de la tecnología de forma corporativa.
información que deben acatar las entidades supervisadas y
reguladas del sistema financiero costarricense, e incorpora
dentro de su alcance un total de 110 entidades supervisadas por B.2 Alcance del Acuerdo SUGEF 14-17
la Superintendencia General de Entidades Financieras El Reglamento General de Gestión de TI, incluye en el
(SUGEF), la Superintendencia General de Valores alcance un total de ciento diez entidades supervisadas por las
(SUGEVAL), la Superintendencia de Pensiones (SUPEN) y la cuatro superintendencias. Ver Apéndice 1 Entidades incluidas
Superintendencia General de Seguros (SUGESE). [28] en el Reglamento General de Gestión de TI . La distribución de
El Acuerdo SUGEF 14-17, considera que las las entidades por cada una de las superintendencias es la
superintendencias están migrando de un modelo basado en siguiente:
reglas taxativas hacia un enfoque basado en riesgos, donde la Tabla 1 Cantidad de entidades supervisadas por cada
entidad supervisada es responsable de una gestión integral de superintendencia
los riesgos del negocio.
Superintendencia Cantidad de entidades
En este sentido los requerimientos taxativos del reglamento SUGEF 44
que se listan a continuación: SUPEN 12
SUGEVAL 42
1. Establecimiento de un Marco de Gestión de TI.
SUGESE 12
2. Remisión del Perfil Tecnológico.
Total 110
3. Contratación de Auditorías Externas de TI. Fuente: Elaboración propia (2022)
4. Remisión de Planes de Acción.
Logran un balance con el Modelo de Supervisión Basado en
Riesgos (SBR), ya que permite a las entidades considerar el
principio de proporcionalidad 4, a través de:
4
La proporcionalidad implica el establecimiento de limitados: El modelo de negocio, tamaño, complejidad,
elementos para la gobernanza y gestión dentro de las volumen de operaciones, riesgos y el conocimiento informado
organizaciones considerando entre otros aspectos, pero no de la entidad.
Página 13 de 37
B.3. Marco de Gestión de TI
El Marco de Gestión de TI (MGTI) es un conjunto de C.1 Principio de proporcionalidad
procesos, destinados a la gobernanza y la gestión de las
El SBR se fundamenta en el principio de proporcionalidad,
tecnologías de información, que la entidad supervisada debe
el cual permite evaluar a cada entidad y las medidas de
adoptar como referencia para la gestión integral de sus riesgos
actuación considerando los atributos particulares del
tecnológicos, considerando su naturaleza, complejidad, modelo
supervisado en aspectos tales como: naturaleza jurídica de la
de negocio, volumen de operaciones, criticidad de sus procesos
entidad, tamaño, estructura de propiedad, alcance y la
y la dependencia tecnológica.
complejidad de las operaciones, estrategia corporativa, perfil de
El MGTI establecido en el Acuerdo SUGEF 14-17, está riesgo y el potencial impacto de sus operaciones sobre terceros.
basado en COBIT 5, cabe señalar que el modelo base Con lo anterior, se permite adecuar y requerir medidas de
establecido por ISACA incluye treinta y siete procesos, sin acción para la atención de los riesgos que varíen según las
embargo, el marco excluye tres procesos. circunstancias internas o externas y las actividades comerciales
de la entidad.
Por su parte, el Reglamento General de Gestión de TI y sus
Lineamientos establece que es responsabilidad de las entidades En el caso de TI, el principio de proporcionalidad cobra vital
supervisadas planificar, implementar, controlar y mantener el importancia debido a la gran cantidad de plataformas,
MGTI basado en treinta y cuatro procesos. Lo anterior, herramientas tecnológicas, sistemas de información, bases de
considerando el principio de proporcionalidad. Además, datos, sistemas operativos, equipos de telecomunicaciones,
mediante estudio técnico las entidades pueden establecer equipos de protección y seguridad, así como otros elementos
razonadamente la exclusión de procesos que no apliquen. que pueden variar según el tipo o las mezclas de tipos de
tecnologías implementadas en las entidades supervisadas.
Cabe destacar que la estrategia de supervisión transversal que
presenta el reglamento permite que cuando la gestión de TI sea
tipificada como corporativa, la entidad puede coordinar, aplicar
C.2 TI como actividad significativa
y mantener un único marco de gestión de TI corporativo, el cual
debe contemplar los riesgos de TI establecidos en la gestión Los modelos tradicionales de gestión de riesgos incluyen los
integral de riesgos aprobada por el Órgano de Dirección de cada temas relacionados con sistemas de información y tecnologías
una de las entidades. dentro del riesgo operativo. Sin embargo, este modelo dada la
complejidad actual y futura que conlleva las tecnologías de
Por otro lado, el reglamento establece que cuando las información presenta un sesgo al diluir la importancia
necesidades de supervisión, el riesgo identificado, o se individual y sistémica de los riesgos tecnológicos dentro de los
determine que el marco de gestión de TI no es acorde a las riesgos operativos, generando limitaciones a los directores de
particularidades de la entidad supervisada, las las organizaciones en la toma de decisiones o durante el
Superintendencias pueden requerir, mediante resolución establecimiento del apetito de riesgo.
razonada, la inclusión de procesos en el marco de gestión de TI.
Desde la perspectiva de SBR se recomienda que tecnologías
de información sea incorporada como una actividad
C. Modelo de Supervisión Basado en Riesgos y TI significativa, lo anterior, al considerar que:
Las superintendencias desde el año 2008, han trabajado en el 1. El nivel de complejidad y especialización que
desarrollo de un modelo de supervisión para la industria acorde conlleva las tecnologías de información y su
con los nuevos requerimientos y apegado a las buenas prácticas constante avance es elevado e implica una serie de
regulatorias internacionales, que le permita cumplir con las riesgos emergentes.
funciones que le han sido encomendadas por sus respectivos 2. Las entidades financieras no se dedican a negocios
mandatos legales. tecnológicos, pero han generado una alta
dependencia en el uso de plataformas tecnológicas
El enfoque de supervisión basado en riesgos (SBR) está y de la internet para sus operaciones y la atención
dirigido a velar por la liquidez, la solvencia y estabilidad de la de los requerimientos de sus clientes.
industria, por lo que se centra en el análisis de los diferentes 3. Las entidades basan sus estrategias competitivas en
factores de riesgos, disminuyendo la probabilidad de eventos de maximizar los beneficios, reducir los costos y los
liquidez e insolvencia y resguardando así los derechos de los impactos de los riesgos implementando canales y
consumidores y la estabilidad del sistema financiero. productos digitales emergentes, asumiendo nuevos
El SBR permite analizar, de manera prospectiva, los riesgos riesgos.
relevantes del supervisado y su sistema de gobierno y gestión, Además, existen una serie de factores que permiten ejecutar
con el objetivo de establecer un Perfil de riesgo de la s entidades, un análisis cuantitativo y cualitativo aplicados a TI para la
el cual permita valorar acciones supervisoras apropiadas para el entidad y del mercado que justifican ampliamente su relevancia
nivel de riesgo observado. [29] como actividad significativa.
Página 14 de 37
De esta forma, el enfoque tradicional de visualizar los riesgos La evaluación de la gestión operativa y las funciones de
de sistemas de información y tecnológicos embebido en el control para la actividad significativa de TI considera las
riesgo operativo se vuelve incapaz de reflejar los potenciales siguientes cuatro categorías: fuerte, aceptable, necesita mejorar
riesgos tecnológicos. o débil.
Cabe destacar que, al incluir TI como actividad significativa Asimismo, para cada función de control relevante de la
no deja de lado el enfoque tradicional, si no que permite orientar Entidad, se debe determinar una calificación general que refleje
los esfuerzos hacia la evaluación en cada una de las otras la calidad de cada función a través de toda la compañía,
actividades significativas, líneas, unidades o procesos de utilizando las mismas cuatro categorías citadas.
negocio que puedan implica r un riesgo material para la
compañía, lo anterior, utilizando como referencia para su
evaluación el proceso “Gestionar los controles de los procesos C.5. Riesgo neto de TI y su dirección
de negocio”, incorporado en el MGTI. El riesgo neto de la actividad significativa de TI es el nivel
de riesgo resultante después de considerar la calidad de los
controles aplicados por la administración de la entidad sobre los
C.3 Riesgo inherente de TI riesgos inherentes clave y se califica como bajo, moderado, alto
El riesgo inherente es la probabilidad de pérdidas materiales, o crítico.
debido a la exposición a eventos adversos actuales y futuros. Es
La calificación de riesgo neto debe incluir tanto su valoración
intrínseco a la actividad significativa y es evaluado antes de
de la perspectiva futura, calificada como decreciente, estable o
considerar la administración de riesgo que sobre esa actividad
creciente, así como de su importancia dentro del Perfil de
ejecute la compañía.
riesgos de la entidad, calificada como alta, media o baja.
El riesgo inherente de la actividad significativa de TI se
evalúa dentro de la gestión de su propio riesgo operativo,
asignándole una calificación de bajo, moderado, alto o crítico, D. La organización de la supervisión
según su materialidad; y utiliza como principales insumos de
evaluación: el perfil tecnológico de la organización y el
conocimiento informado del supervisor sobre la entidad D.1 Procesos de supervisión de TI
supervisada. Las cuatro superintendencias aplican un proceso genérico de
supervisión de TI que contempla entre otras, pero no limitadas
las actividades siguientes:
C.4 Calidad de la gestión del riesgo de TI 1. Establecer y actualizar la estrategia de supervisión
La calidad de la gestión del riesgo de TI debe valorarse en de TI en un horizonte de 4 años.
cada uno de los siguientes niveles de control: 2. Definir la Macroplanificación anual de TI.
1. Gestión operativa de TI: es aquella utilizada para 3. Gestionar visitas de SBR.
administrar los riesgos inherentes de la actividad 4. Gestionar estudios especiales.
significativa sobre la base del día a día. La Alta 5. Gestionar el cumplimiento regulatorio.
Gerencia debe asegurarse que existe un claro 6. Apoyar y ejecutar actividades administrativas y
entendimiento, por parte de toda la estructura de la proyectos de otras áreas y superintendencias.
Entidad, de los riesgos que enfrenta y que debe 7. Asistir y brindar capacitaciones y formación.
administrar, así como de que las políticas, procesos 8. Realizar investigación y actualización profesional
y la cantidad de recursos dedicados sean suficientes en temas prioritarios de TI.
y efectivos. Cabe destacar que las visitas de SBR, los estudios especiales,
2. Funciones de control relacionadas con TI: y la gestión del cumplimiento regulatorio se pueden administrar
comprende la existencia y suficiencia de las como proyectos, y el resto de las actividades son actividades de
funciones que garanticen una supervisión adecuada apoyo a la gestión de la supervisión de TI.
de la gestión de la Entidad de conformidad con los
procesos del MGTI y las áreas prioritarias de TI,
según el principio de proporcionalidad. D.2 Estructura funcional y ejecución de labores de la
Cuando una entidad carezca de alguna de las funciones de supervisión de TI
control relacionadas con TI o no sean suficientemente El Reglamento General de Gestión de TI fue diseñado para
independientes o cuando sus potestades no sean responder de forma transversal al mercado financiero
suficientemente amplias, se espera que otras funciones internas costarricense. Para cubrir el alcance del reglamento y las
o externas ejerzan el control independiente requerido. actividades del proceso de supervisión de TI se cuenta con un
total de diez supervisores de tecnologías de información con
Página 15 de 37
experiencia en temas de auditoría e informática. Estos realiza de forma superficial, lo anterior, para cumplir con los
supervisores se distribuyen en las superintendencias de la plazos establecidos y el alcance definido.
siguiente manera:
Tabla 2 Cantidad de supervisores de TI por cada superintendencia
VIII BRECHAS DEL MARCO DE GESTIÓN DE TI
Superintendencia Cantidad de supervisores
SUGEF 5
SUPEN 2 En esta sección, se aborda un resumen de las brechas del
SUGEVAL 2 marco de gestión en comparación como el NIST CSF y la ISO
SUGESE 1 27032.
Total 10
Fuente: Elaboración propia (2022)
A. NIST CSF – MGTI
El Marco de Gestión de TI que deben implementar las
La estructura funcional y dependencia jerárquica varia en entidades supervisadas incluyen dos procesos relacionados
cada una de las superintendencias, por ejemplo, la SUGEF directamente con la seguridad de la información (2.12.
cuenta con un área de Supervisión de TI, la cual está bajo la Gestionar la Seguridad de la Información y 4.5. Gestionar los
línea jerárquica del Despacho del Superintendente. Este cambio Servicios de Seguridad de la Información). Además, el
se dio en el año 2022, sin embargo, los supervisores de TI reglamento considera otros procesos que tienen relación con las
continúan ejecutando sus funciones dentro de cada una de las funciones del NIST CSF.
Divisiones de Supervisión. En el caso de la estructura en la
SUPEN, los supervisores de TI están localizados uno dentro de Un análisis comparativo del Marco de Gestión de TI, con el
la División de Regímenes Colectivos y el otro en la División de NIST CSF, determinó que la s cinco funciones están
Régimen de Capitalización Individual, por su parte, en incorporadas dentro de las prácticas de los procesos de COBIT.
SUGEVAL, los supervisores se localizan en la División de Ver Apéndice 4 Comparativo de Procesos del MGTI con las
Supervisión de Fondos de Inversión, en el caso de SUGESE, el funciones del NIST.
supervisor de TI se encuentra ubicado dentro de la División de
Supervisión.
(*)5 B. ISO 27032 – MGTI
El Marco de Gestión de TI que deben implementar las
Para la ejecución de las labores de supervisión de TI, de entidades supervisadas incluyen dos procesos relacionados
forma anual se realiza una Macroplanificación, y se establecen directamente con la seguridad de la información (2.12.
las prioridades de las áreas de supervisión prudencial a nivel Gestionar la Seguridad de la Información y 4.5. Gestionar los
operativo y posteriormente, se incorporan las actividades de los Servicios de Seguridad de la Información). Estos procesos
supervisores de TI según las prioridades de cada una de las contienen una serie de prácticas de gobierno y de gestión que
áreas donde el supervisor de TI esté adscrito. permiten a las entidades establecer controles generales del
Considerando lo anterior, los proyectos de supervisión se dominio de ciberseguridad.
ajustan en cuando al alcance y tiempo para satisfacer los Por su parte, en la revisión detallada de los controles de la
requerimientos de cada superintendencia. Por su parte, los ISO 27032, se identificaron entre otros los puntos de mejora
supervisores de TI proponen en algunas ocasiones a las siguientes:
jefaturas reducir el alcance de los trabajos para poder cumplir
con los plazos establecidos, o replantear las prioridades. 1. Controles técnicos específicos relacionados con la
ciberseguridad los cuales pueden ser incorporados
Una vez determinado el panorama de la Macroplanificación en las guías de supervisión basada en riesgo para
y el alcance y tiempo de los proyectos de supervisión, los fortalecer los procesos de supervisión de TI.
supervisores de TI valoran si se pueden incluir según las 2. Mejores prácticas relacionadas con la comunicación
prioridades establecidas la evaluación de las áreas prioritarias de incidentes entre la s superintendencias, las
de TI como lo son: Seguridad de la Información, entidades supervisadas y el centro de incidentes
Ciberseguridad, Computación en la Nube, Desarrollo de informáticos y de ciberseguridad.
aplicaciones, Gestión de la cadena de proveedores, entre otros; 3. Mejores prácticas con relación a los programas de
y en algunos casos las revisiones de estas áreas prioritarias se formación y capacitación que deben brindar las
5
Se excluyen unos párrafos de la propuesta inicial que se
considera son solo de interés de las Superintendencias
Página 16 de 37
superintendencias, en materia de seguridad y en Información dentro del modelo de Supervisión Basada en
particular en temas de ciberseguridad. Riesgos sea considerado como un proceso, función o actividad
4. Mejores prácticas para blindar el sector financiero de apoyo al negocio significativa, y dejar la visión arcaica de
de ataques cibernéticos y unir esfuerzos contra los valorar TI como un riesgo diluido dentro de los riesgos
cibercriminales; con el establecimiento de operativos del negocio y dentro de cada una de las actividades
mecanismos o foros para el intercambio de significativas de negocio.
experiencias entre los participantes del mercado
Al segregar el riesgo tecnológico del riesgo operativo, los
financiero.
tomadores de decisiones en las organizaciones pueden evitar el
5. Mejores prácticas para fortalecer la regulación y
sesgo de diluir estos riesgos con los riesgos de carácter
supervisión de la gestión de la cadena de
operativos.
proveedores de suministros de TI.
La importancia de la segregación del riesgo tecnológico del
riesgo operativo radica en la propia complejidad de las
IX MODELOS DE SUPERVISIÓN Y EL MARCO DE GESTIÓN tecnologías y la información, así como los nuevos riesgos
DE TI emergentes asociados a la gobernanza y la gestión que, de
materializarse, podrían llevar al cese o cierre de operaciones de
Esta sección a borda la visión tradicional de los riesgos de un negocio, o una industria especifica.
sistemas de información y tecnológicos y su abordaje dentro del
modelo de SBR para ser alineado dentro del Marco de Gestión Superada la visión arcaica de que el riesgo de sistemas y de
de TI y armonizar el cumplimiento regulatorio con el tecnologías sea valorado dentro del riesgo operativo, y
cumplimiento de principios. posicionando a TI como una actividad significativa dentro del
modelo de SBR, el marco de gestión se convierte en una
herramienta para que los supervisores de TI evalúen la Gestión
A. Visión tradicional del riesgo operativo de TI, así como las Funciones de Control, de forma sistemática
El riesgo operativo entre tantas acepciones se puede entender y aliena da a los procesos de dicho marco.
como la posibilidad de sufrir pérdidas económicas debido a Dentro del práctica supervisora, cada proceso del marco
fallos de los procesos, el personal y los sistemas internos o bien puede estar relacionado con la gestión de TI, así como con una
a causa de acontecimientos externos. Esta definición incluye el o más funciones de control según el diseño del modelo de
riesgo legal y el riesgo de tecnologías de información. En negocio que la entidad implemente para su gobernanza y
algunos casos, se pueden incluir o excluir de este riesgo, el gestión.
riesgo estratégico y el riesgo de reputación. Dicha acepción es
válida en los modelos de gestión y supervisión de riesgos Este mapeo se realizó considerando el modelo genérico de
tradicionales. responsabilidades (RACI) establecido para cada proceso de
CobiT, y considerando el criterio experto del autor del presenta
Debemos recordar que la concepción inicial de las áreas de trabajo de investigación.
sistemas y de la computadora electrónica data sus inicios con la
segunda generación de computadores en los años 60’s del siglo Como se puede ver en el Apéndice 5 Alineación del modelo
pasado, la cual sigue evolucionando hasta convertirse en la de SBR al Marco de Gestión de TI, la Gestión Operativa de TI,
actualidad en áreas que requieren gobernar y gestionar todo tipo está relacionada con un total de 14 procesos del marco. Esta
de elementos relacionados con tecnología e información. Esta relación le permite al supervisor de TI basar su conocimiento
evolución posicionó los riesgos de sistemas y actualmente de informado y la calificación de la gestión considerando las
tecnologías de información dentro del riesgo operativo. prácticas de gobierno y gestión relacionadas a los procesos
mapeados de conformidad con el principio de proporcionalidad.
También, se puede observar que existen algunos procesos del
B. Nuevo enfoque del riesgo tecnológico marco de gestión relacionados con la Gestión Operativa de TI
Los avances tecnológicos 6 , la automatización, la con otras Funciones de Control, esta relación es vital, ya que las
digitalización de los procesos del negocio, la alta dependencia organizaciones pueden variar dentro de su gobernanza la
tecnológica, así como la desmaterialización de las actividades ejecución los procesos, razón por la cual se pueden observar
tradicionales en el ciberespacio, conllevan una amplia procesos con más de una relación identificada dentro de la
pluralidad de nuevas amenazas y riesgos. gestión o en otra función de control.
En este punto, se observa la necesidad de visualizar, como se Por otro lado, la Función de Cumplimiento Normativo,
ha mencionado en los apartados anteriores, que Tecnologías de Función de la Auditoría Interna, y la Función de Riesgo tienen
relacionados dos procesos del marco de gestión. Por su parte, el
6
Inteligencia Artificial (IA), el Blockchain, el Internet de las
Cosas (IoT), entre otros aspectos prioritarios e innovaciones.
Página 17 de 37
Órgano de Dirección tiene relacionado los cinco procesos de para aclarar que la ciberseguridad es un
Gobierno de CobiT, los cuales, a su vez, han sido mapeados al subcomponente o subdominio de la
Reglamento de Gobierno Corporativo, SUGEF 16-16. seguridad de la información.
Finalmente, la Alta Gerencia, que puede incluir a la Gerencia b. Fortalecer el modelo regulatorio
General o la Dirección de TI, está relacionada con diecinueve actualizando el Marco de Gestión de TI de
procesos. CobiT 5 a CobiT 19.
c. Actualizar los considerandos y las
X PROPUESTA definiciones del reglamento SUGEF 14-17
Esta sección contiene una descripción de alto nivel de la para actualizar el nuevo enfoque de
propuesta que responde a contribuir con la consecución de los Gobierno y Gestión de CobiT 19 y la
objetivos, la solución del problema y los fines planteados, lo incorporación de las áreas prioritarias de
anterior considerando los elementos expuestos en la TI para fortalecer el modelo de SBR.
investigación realizada. d. Fortalecer el modelo regulatorio
modificando el título y contenido del
apartado de Bases de Datos, para que se
A. Modelo para la regulación y supervisión de Tecnologías de incluyan los aspectos relacionados con la
Información y Ciberseguridad externalización de servicios, y el control de
Para la definición del modelo de regulación y supervisión se la cadena de proveedores de negocio y de
deben considerar los aspectos que se detallan a continuación. TI, rela cionados con las entidades
supervisadas y reguladas por el sistema
Modelo de regulación de TI y ciberseguridad financiero costarricense.
Consideraciones generales e. Fortalecer la práctica supervisora
1. El modelo de regulación de TI del mercado incorporando dentro de los procesos de
financiero costarricense es transversal e incorpora supervisión el uso de guías de
elementos para su gobierno y gestión y está ciberseguridad y otras guías relacionadas
plasmado en el Reglamento General de Gestión de con las áreas prioritarias de TI.
TI SUGEF 14-17. f. Vincular el uso de las guías para la
2. Los antecedentes históricos de la evolución de la supervisión y auditoría externa de TI a
regulación costarricense denotan que las entidades nivel regulatorio a través de los
supervisadas han tenido una transición de más de 5 lineamientos del reglamento.
años para la implementación de los procesos que les g. Fortalecer el modelo regulatorio con
aplica a cada entidad según el principio de relación a la comunicación de los
proporcionalidad. incidentes de ciberseguridad a lo interno y
3. El modelo de regulación de TI se migró de un externo de las organizaciones, incluyendo
enfoque taxativo a un enfoque basado en principios. la comunicación con las
4. Las entidades supervisadas pueden seleccionar los superintendencias, mediante un apartado
procesos que les apliquen para establecer su marco en los lineamientos del reglamento.
de gestión de TI, conforme al principio de
proporcionalidad y la gestión de riesgos de la
Modelo de supervisión de TI y ciberseguridad
organización.
5. La seguridad de la información se incorpora Mejora del modelo
mediante dos procesos del marco de gestión de TI. 1. Para cumplir con el modelo regulatorio transversal
6. La madurez que ha tenido el sistema financiero establecido en el Reglamento General de Gestión de
costarricense permite que se pueda desarrollar de TI, Acuerdo SUGEF 14-17, aplicable para el
forma holística el modelo regulatorio sin la sistema financiero costarricense; se requieren una
necesidad de establecer reglamentos específicos serie de ajustes estructurales, los cuales se detallan
sobre ciberseguridad o cualquier otra área en el apartado denominado “Propuesta de rediseño
prioritaria de TI. de la estructura de supervisión de TI para el
CONASSIF”, lo anterior, considerando el diseño
Propuesta de mejora regulatoria funcional vigente en cada una de las
1. Con relación a la ciberseguridad el modelo de superintendencias.
regulación de TI presenta algunas oportunidades de 2. Fortalecer el modelo de supervisión con el
mejora dentro de las que se proponen al menos pero establecimiento de foros o mecanismos que
no limitadas las siguientes: permitan intercambiar experiencias sobre
a. Actualizar los considerandos y las ciberseguridad y otras áreas prioritarias de TI entre
definiciones del reglamento SUGEF 14-17
Página 18 de 37
los actores de la industria para propiciar un sistema ii. Proyectos sobre estudios
financiero ciberresiliente. especiales.
3. Ampliar el alcance del Reglamento General de iii. Proyectos sobre cumplimiento
Gestión de TI, Acuerdo SUGEF 14-17, con el fin de regulatorio.
incluir: b. Utilizar la plataforma tecnológica del
a. Los conglomerados y grupos financieros Banco Central 8 para la gestión de los
incluyendo sus subsidiarias. procesos de supervisión transversal de TI,
b. Las personas jurídicas tipo 1 y 2 mediante la suscripción de los respectivos
consideradas en los artículos 15 y 15 Bis acuerdos de nivel de servicio.
de la Ley 7786. c. Gestionar los requerimientos de las cuatro
c. Los afiliados al SINPE indicados en los superintendencias para atender las
artículos 3, 4 y 5 del Reglamento del prioridades de supervisión, y demás
Sistema Nacional de Pagos que no son aspectos a considerar, lo anterior, mediante
supervisados 7 pero participan dentro del la suscripción de los respectivos a cuerdos
ecosistema financiero costarricense. de nivel de servicio.
d. Las empresas proveedoras de servicios de d. Utilizar la asesoría de la División de
pago indicados en el artículo 6 del Servicios Tecnológicos del Banco Central
Reglamento del Sistema Nacional de para la aplicación de trabajos especiales de
Pagos. supervisión, mediante la suscripción de los
e. Las empresas tecnológicas o financieras respectivos acuerdos de nivel de servicios.
tipo Fintech, Insurtech o de innovación que e. Apoyarse en los servicios especializados
proporcionen servicios a las empresas de las auditorías externas de TI realizadas
financieras reguladas y supervisadas en el por procesionales CISA, considerando al
sistema financiero costarricense. menos pero no limitadas las valoraciones
f. Otras entidades que, por sus riesgos, indicadas en el Apéndice 6
modelo de negocio, complejidad y Consideraciones de los Auditores Externos
volumen de operaciones no se incluyeron de TI.
en el reglamento ya que se consideraba que f. Para la operación de la propuesta, se debe
la solicitud de la Auditoría Externa de TI validar y aprobar la documentación creada
era costosa y se convertían en una barrera sobre el proceso transversal de supervisión
de entrada. de TI, la cual consideró en su diseño los
4. Modificar el Artículo de las Auditorías Externa de aspectos detallados en el Apéndice 7
TI, con el fin de dar la potestad a las Diseño documental del proceso de
superintendencias de establecer los mecanismos Supervisión de TI.
para gestionar el listado de las entidades que deben
ser sometidas a evaluaciones externas. Estos Modelo de procesos de supervisión
Gráfico 2 Diagrama del proceso de Supervisión transversal de TI
mecanismos incluyen la publicación y actualización
regular de las listas considerando el principio de
proporcionalidad, el perfil de riesgos, el impacto
sistémico, y otros aspectos relevantes que requieran
ser considerados por las superintendencias.
5. Por otro lado, para atender la supervisión
transversal, esta propuesta considera que se debe:
a. Establecer un proceso transversal de TI
que permita ejecutar pruebas de control a
las entidades supervisadas mediante el
modelo de servicios compartidos a las
cuatro superintendencias, armonizando
dentro del modelo y el proceso los tres Fuente: Elaboración Propia (2022).
tipos de proyectos de supervisión de TI:
i. Proyectos de SBR.
7 8
Bancos, Procesadores y compensadores; Asociaciones Expediente Electrónico de Supervisión (EES)
Solidaristas; Empresas Públicas; Operadores Telefónicos, entre
otros.
Página 19 de 37
Como se pudo observar en el Gráfico 2, se presenta una Además, se deben incorporar los resultados de las Auditorías
visión general del proceso de supervisión transversal de TI, el Externas de TI cuando estén disponibles, así como otras guías
cual debe incorporar los tres tipos de proyectos que se ejecutan de las Áreas prioritarias de TI.
a saber: Proyectos de SBR, Proyectos Especiales, Proyectos de
Finalmente, las fases cuatro y cinco, sobre el riesgo neto y
cumplimiento regulatorio o normativo. Ver. Gráfico 3
compuesto. En la fase del riesgo neto se establece la calificación
general de TI como actividad significativa y la tendencia o
Gráfico 3 Proyectos de Supervisión transversal de TI
dirección del riesgo. En la fase del riesgo compuesto se valora
el riesgo global de la entidad considerando las otras actividades
significativas y otros aspectos relacionados a la supervisión
Cumplimento
prudencial en términos de capital y liquidez.
Estudios
SBR regulatorio
especiales Reglamento de TI
Modelo de servicios de supervisión transversal de TI

Para ejecutar los procesos del Modelo de Supervisión
Fuente: Elaboración propia. (2022). transversal de TI se diseñó un portafolio de servicios que se
Los estudios especiales y de cumplimiento siguen de forma detallan en el Gráfico 5, adicionalmente, se debe suscribir los
transparente los cinco pasos indicados en el Gráfico 2, sin respectivos acuerdos de nivel de servicio con cada una de las
embargo, para los proyectos de SBR se deben tener las superintendencias, el CIF y el BCCR con el fin de armonizar
consideraciones que se presenta en el Gráfico 4. las expectativas de los servicios que se muestran a
continuación:
Gráfico 4 Flujo del proceso de SBR aplicado para TI
Gráfico 5 Portafolio de Servicios del proceso de Supervisión
transversal de TI

El Gráfico 4 muestra las cinco fases del modelo de
Supervisión Basada en Riesgos, la cual inicia por el
establecimiento de TI como una actividad significativa a partir
del conocimiento informado de la entidad. Posteriormente se
debe evaluar el riesgo inherente de TI, dicha evaluación se
orienta con la ISO 31000, considerando el alcance, contexto,
criterios e identificación de escenarios de riesgos.
Los escenarios de riesgos pueden ser guiados por los riesgos
globales, los riesgos propios de cada sector, los escenarios de
riesgos de ISACA, entre otros.
La siguiente fase corresponde a la evaluación de la gestión
de TI y sus funciones de control relacionadas. Esta valoración
se realiza utilizando los procesos del Marco de Gestión.
Página 20 de 37
B. Propuesta de rediseño de la estructura de supervisión de TI 12. Promover la supervisión como una herramienta de
para el CONASSIF valor al negocio y no crear cargas regulatorias y
Aspectos generales solicitudes de requerimientos excesivas o
(*)9 duplicadas.
Propuesta de rediseño Desde la perspectiva del supervisado se tiene que el rediseño

permite:
Con el fin de promover la aplicación transversal del
reglamento y el modelo de supervisión, así como evitar la 1. Utilizar una plataforma tecnológica estandarizada
materialización de riesgos reputacionales y riesgos operativos, para la remisión de la información “Expediente
se propone rediseñar la estructura funcional de supervisión de Electrónico de Supervisión”
TI considerando lo siguiente: 2. Estandarizar la remisión y clasificación de los
riesgos de seguridad informática y los riesgos
Desde la perspectiva de la supervisión el rediseño propuesto
cibernéticos, así como el reporte de los incidentes.
permite:
3. Fomentar desde una visión integrada el
1. Enfocar y priorizar el uso de los recursos fortalecimiento de los componentes de gobierno
especializados de TI dentro de un apetito de riesgos corporativo que soporten el gobierno de TI y la
aceptado en la estrategia de supervisión de TI para gobernanza de la seguridad.
cada superintendencia aplicable de forma individual 4. Promover una cultura de compromiso y gestión de
o a los grupos y conglomerados financieros. riesgos dentro del modelo de las cuatro líneas de
2. Mejorar y facilitar la supervisión consolidada de defensa.
entidades que pertenecen a grupos o conglomerados 5. Evitar reprocesos en las entidades que pertenezcan
financieros. a un grupo o conglomerados financieros por
3. Homologar y estandarizar la estrategia general de enfoques y criterios de supervisión de TI distintos
supervisión de TI. entre las superintendencias.
4. Visualizar los riesgos de TI de forma homologada y 6. Cambiar el enfoque tradicional de que los riesgos de
consolidada de todo el sistema financiero Tecnologías de Información estén diluidos dentro
costarricense. del riesgo operativo.
5. Aplicar el modelo de supervisión de TI alineado a 7. Mejorar los procesos de comunicación, así como la
SBR para todas las superintendencias. calidad de los servicios de supervisión de TI para
6. Cambiar el enfoque tradicional de que los riesgos de que entreguen valor agregado al negocio.
Tecnologías de Información estén diluidos dentro 8. Mejorar el control interno de las entidades
del riesgo operativo. supervisadas.
7. Priorizar la asignación de recursos en las entidades
La propuesta conlleva un cambio de gobernanza de la
supervisadas ya que la Alta Gerencia y los Órganos
supervisión de tecnologías de información, empoderando la
de Dirección puede visualizar los riesgos asociados
regulación y supervisión transversal consolidada, al ubicar la
a las TI.
supervisión de TI dentro de la estructura funcional del
8. Valorar los riesgos asociados a las áreas prioritarias
CONASSIF, como se observa en el Gráfico 6 detallado a
de TI como lo son los riesgos asociados a la
seguridad informática, ciberseguridad, tecnologías continuación:
emergentes, entre otros. Gráfico 6 Estructura de Gobernanza de la Supervisión transversal
9. Posicionar los controles de TI relacionados con las de TI
funciones dentro del modelo de cuatro líneas de
defensa mediante la alineación del Marco de
Gestión de TI.
10. Fomentar la supervisión basada en principios, la
cual busca mantener un equilibrio entre las
entidades supervisadas y las superintendencias.
11. Prevenir la materialización de riesgos
reputacionales y legales que afecten a los
supervisores, superintendentes y el CONASSIF. Fuente: Elaboración propia. (2022).
9
Se excluyen los párrafos de esta sección que están en la
propuesta inicial que se considera son solo de interés de las
Superintendencias.
Página 21 de 37
El Departamento propuesto tendrá como objetivo supervisar operativa, la cual propone un Gestor de innovación y control
de forma transversal las entidades del sistema financiero interno y un Gestor de consolidación de información y gestión
costarricense en materia de tecnologías de información, de reportes e incidentes.
incluyendo las áreas prioritarias de TI, la innovación y el
Finalmente, la gobernanza del Departamento de Supervisión
surgimiento de nuevas tendencias o tecnologías; así como las
transversal de TI debe ser gestionado por su respectivo
prioridades de la supervisión prudencial, armonizando los
encargado, con el fin de armonizar iniciativas, proyectos y
requerimientos de las superintendencias, en función de los
requerimientos de las Superintendencias, el Banco Central
riesgos identificados (individuales o sistémicos), la capacidad
(SINPE y la DST); el CONASSIF y el Centro de Innovación
instalada, los equipos de supervisión especializados, las
Financiera.
auditorías externas de TI, entre otros.
El rediseño a nivel de gestión conllevó definir una estructura
con los elementos que permitan planificar, controlar y ejecutar C. Supervisión de TI en las cuatro superintendencias acorde
los requisitos priorizados de los proyectos de SBR, los al marco regulatorio y SBR.
proyectos especiales y los proyectos de cumplimiento
normativo de las cuatro superintendencias, considerando y
alineando la Macroplanificación de las Divisiones de El rediseño de la supervisión de tecnologías de información
Supervisión, e incorporar la supervisión de las áreas prioritarias conlleva una serie de cambios y paradigmas por parte de todos
de TI en función de los riesgos. Además, el diseño responde a los actores relacionados, incluyendo los Superintendentes, las
la atención del portafolio de servicios. En el Gráfico 7 se detalla Direcciones de Supervisión, los supervisores prudenciales, las
la estructura funcional propuesta: áreas de prestación de servicios compartidos y las entidades
supervisadas.
Gráfico 7 Estructura del Departamento de Supervisión
transversal de TI Se debe integrar a nivel de las cuatro superintendencias la
perspectiva de que TI se considera como una Actividad
Significativa. Las revisiones tradicionales y el acompañamiento
de los supervisores de TI a los supervisores prudenciales se
coordinan de conformidad con la Macroplanificación y dentro
de las visitas de SBR. Visitas especiales deben ser valoradas
considerando el riesgo y la intensidad de supervisión. La
atención de las excepciones, situaciones de emergencia o casos
fortuitos estarán normados bajo los acuerdos de nivel de
servicio, los cuales deben ser revisados anualmente para
monitorear su desempeño y realizar los ajustes necesarios.
Se propone realizar planes de gestión de cambio y
comunicación para lo interno de las superintendencias con el fin
de realizar la concientización y formación de los supervisores
prudenciales sobre el modelo y el enfoque de SBR aplicado para
TI.
D Mecanismos de comunicación con las entidades

supervisadas y programa de concientización a la población
Se propone realizar planes de gestión de cambio y

comunicación hacia las entidades supervisadas, así como
Fuente: Elaboración propia. (2022). programas de concientización y formación sobre el modelo de
SBR, ciberseguridad y reporte de incidentes, presentados por
(*)10 los cambios regulatorios propuestos.
Adicionalmente, considerando el portafolio de servicios Se debe coordinar con el MICITT las campañas de
definido, se requiere un área de control interno y gestión concientización sobre temas de ciberseguridad, así como la
10
Se excluyen los párrafos de esta sección que están en la
propuesta inicial que se considera son solo de interés de las
Superintendencias.
Página 22 de 37
definición de los mecanismos para el reporte de incidentes de organización de la supervisión de TI fomentando la
forma homologada. ejecución de actividades consolidadas en apoyo a
los procesos de toma de decisión de cada
XI.CONCLUSIONES superintendencia.
En esta sección se presenta un resumen de los principales 3. El cambio en la estructura funcional y la gobernanza
resultados discutidos a lo largo del presente trabajo. de la supervisión consolidada de TI permitirá
favorecer la supervisión en áreas prioritarias de TI,
considerando los riesgos y particularidades de cada
Sobre valorar el marco regulatorio vigente establecido por el mercado y entidad supervisada.
CONASSIF determinar posibles brechas 4. Al establecer una estructura consolidada de
1. La regulación costarricense establecida por el supervisores de tecnologías de información, se
CONASSIF cumple en términos generales con los fortalece la supervisión ya que se fomenta los
temas de seguridad de la información y sus análisis y evaluaciones de forma colegiada
controles de gobernanza y gestión. apoyándose en el criterio técnico y conocimiento
2. Se identificaron brechas relacionadas con la informado de los equipos de supervisión de TI.
ciberseguridad que podrían ser incorporados dentro
del reglamento y sus lineamientos. Estas brechas
están relacionadas con: Sobre alinear el enfoque supervisión de TI a SBR
a. Los mecanismos de intercambio de 1. El Marco de Gestión de TI puede ser alineado a un
información y comunicación de incidentes modelo basado en principios y no solamente de
de seguridad y ciberincidentes. cumplimiento, al incorporar tecnologías de
b. El establecimiento de foros para fortalecer información como una actividad significativa en las
el intercambio de experiencias entre los evaluaciones de SBR, lo que implica cambiar el
participantes de la industria financiera enfoque tradicional de que el riesgo tecnológico esté
costarricense. incluido en los riesgos operativos.
c. El fortalecimiento de la cultura y 2. Se busca disminuir la posibilidad de la
concientización por parte del CONASSIF materialización de riesgos reputacionales al
hacia el mercado costarricense en temas de consolidar la visión de la supervisión de TI, a través
ciberseguridad. de una estrategia y Macroplanificación que
d. El reforzamiento de los procesos y la armonice las necesidades y requerimientos de las
estructura de supervisión hacia prácticas Direcciones de Supervisión de cada
de supervisión consolidada y homologadas Superintendencia.
que consideren el principio de 3. Se promueve la integración de nuevas tecnologías
proporcionalidad y las particularidades de emergentes, la innovación tecnológica y cualquier
cada mercado y entidad, y permitan cubrir otra área prioritaria de TI, mediante la alineación de
las más de 180 entidades. las guías de supervisión a los procesos del Marco de
3. Se debe promover ante las entidades supervisadas, Gestión, lo anterior, considerando el principio de
los auditores externos, y las áreas de supervisión proporcionalidad, el modelo de negocio, y los
que el Reglamento de TI establece un balance entre riesgos de cada entidad.
la supervisión basada en principios y el
cumplimiento; para poder enfocarse en los riesgos
de la entidad considerando el principio de
proporcionalidad. REFERENCIAS
[1] World Economic Forum, Informe de Riesgos Globales 2022, 2022.

Sobre definir una estructura y modelo de supervisión de TI [2] Marsh, «5 tipos de ataques ciberéticos. Casos, consecuencias y soluciones
que incorpore los temas de seguridad informática y #SoyCiberseguro,» 2022.
ciberseguridad
[3] ISO/IEC, «ISO/IEC 27000:2018 Tecnología de la información — Técnicas
1. Las bondades del reglamento SUGEF 14-17 de seguridad — Sistemas de gestión de la seguridad de la información — Visión
general y vocabulario,» febrero 2018. [En línea]. Available:
permiten que en Costa Rica se implemente un https://www.iso.org/standard/73906.html. [Último acceso: 20 junio 2022].
modelo de regulación y supervisión holística, el
cual debe ser reforzado para evaluar las más de 180 [4] ISO/IEC, ISO/IEC 27032 Tecnología de la Información. Técnica de
seguridad. Guías para cibersegurida, ISO, 2017.
entidades supervisadas y reguladas.
2. Se debe migrar de la estructura funcional actual a [5] Consejo de Estabilidad Financiera (FSB), Léxico cibernético, 2018.
una estructura que permita establecer la
Página 23 de 37
[6] Toronto Centre, Supervisión del riesgo de seguridad cibernética, 2018. [29] CONASSIF, «Marco Integrado de Supervisión de Seguros,» SUGESE, San
José, 2017.
[7] Banco de Pagos Internacionales, Perspectivas del FSI sobre la
implementación de políticas No.2 Enfoques regulatorios para mejorar los [30] CEPAL, ONU, «Metodología del marco lógico,» 2005. [En línea].
marcos de ciberseguridad cibernética de los bancos, 2017. Available:
https://repositorio.cepal.org/bitstream/handle/11362/5607/S057518_es.pdf.
[8] Asociación Internacional de Supervisores en Seguros (IAIS), Documento [Último acceso: 17 junio 2022].
temático sobre riesgo cibernético al sector de seguros, 2016.
[31] Consejo de Estabilidad Financiera, «Prácticas efectivas para incidentes
[9] G7, «Elementos Fundamentales de la Ciberseguridad para el Sector cibernéticos. Respuesta y Recuperación. Reporte Final,» 2020.
Financiero,» 2016.
[32] ISO/IEC, ISO/IEC 27000 Sistemas de gestión de la seguridad de la
[10] Autoridad Monetaria de Hong Kong, «Iniciativa de Fortalecimiento de la información - Visión general y vocabulario, ISO, 2018.
Ciberseguridad (CFI),» diciembre 2016. [En línea]. Available:
https://www.hkma.gov.hk/eng/key-functions/international-financial- [33] ISO/IEC, «ISO/IEC 27002:2022 Seguridad de la información,
centre/fintech/research-and-applications/cybersecurity-fortification-initiative- ciberseguridad y protección de la privacidad — Controles de seguridad de la
cfi/. [Último acceso: 16 junio 2022]. información,» febrero 2022. [En línea]. Available:
https://www.iso.org/standard/75652.html. [Último acceso: 20 julio 2022].
[11] Autoridad Bancaria Europea, «Directrices sobre gestión de riesgos de TIC y
de seguridad,» Banco de España. Eurosistema, España, 2019. [34] ISO/IEC, «ISO/IEC 27003:2017 Tecnología de la información — Técnicas
de seguridad — Sistemas de gestión de la seguridad de la información —
[12] Consejo de Estabilidad Financiera, «Prácticas efectivas para la respuesta y Orientación,» marzo 2017. [En línea]. Available:
recuperación de incidentes cibernéticos. Reporte Final,» 2020. https://www.iso.org/standard/63417.html. [Último acceso: 20 junio 2022].
[13] Parlamento Europeo, Reglamento sobre resiliencia operativa digital del [35] ISO/IEC, «ISO/IEC 27004:2016 Tecnología de la información — Técnicas
sector financiero, 2020. de seguridad — Gestión de la seguridad de la información — Seguimiento,
medición, análisis y evaluación,» diciembre 2016. [En línea]. Available:
[14] Superintendencia Financiera de Colombia, Requerimientos mínimos para la https://www.iso.org/standard/64120.html. [Último acceso: 20 junio 2022].
gestión de la seguridad de la información y la ciberseguridad, 2020.
[36] ISO/IEC, «ISO/IEC 27005:2018 Tecnología de la información — Técnicas
[15] Instituto Nacional de Estándares y Tecnología, «NIST / Acerca de,» [En de seguridad — Gestión de riesgos de seguridad de la información,» julio 2018.
línea]. Available: https://www.nist.gov/about -nist. [Último acceso: 18 junio [En línea]. Available: https://www.iso.org/standard/75281.html. [Último
2022]. acceso: 20 junio 2022].
[16] Instituto Nacional de Estándares y Tecnología (NIST), «Centro de Recursos [37] ISO/IEC, «ISO/IEC 27006:2015 Tecnología de la información — Técnicas
de Seguridad Informática,» [En línea]. Available: https://csrc.nist.gov/. de seguridad — Requisitos para los organismos que proporcionan auditoría y
certificación de los sistemas de gestión de la seguridad de la información,»
[17] Organización Internaciona de Normalizción, «Acerca de la ISO,» [En línea]. octubre 2015. [En línea]. Available: https://www.iso.org/standard/62313.html.
Available: https://www.iso.org/about-us.html. [Último acceso: 20 junio 2022]. [Último acceso: 20 junio 2022].
[18] ISO/IEC, «ISO/IEC 27032:2012 Tecnología de la información — Técnicas [38] ISO/IEC, «ISO/IEC 27007:2020 Seguridad de la información,
de seguridad — Directrices para la ciberseguridad,» julio 2012. [En línea]. ciberseguridad y protección de la privacidad — Directrices para la auditoría de
Available: https://www.iso.org/standard/44375.html. [Último acceso: 20 junio sistemas de gestión de la seguridad de la información,» enero 2020. [En línea].
2022]. Available: https://www.iso.org/standard/77802.html. [Último acceso: 20 junio
2022].
[19] Cloud Security Alliance, «Matriz de controles en la nube (CCM) v4,» [En
línea]. Available: https://cloudsecurityalliance.org/research/cloud-controls-
matrix/. [Último acceso: 21 junio 2022].
[20] ISACA, «Acerca de,» [En línea]. Available: https://www.isaca.org/why-

isaca/spanish. [Último acceso: 24 junio 2022].
[21] ISACA, «Marco de Referencia COBIT 2019: Introducción y metodología,»

2018.
[22] ISACA, «Marco de Referencia CobiT 2019: Objetivos de Gobierno y

Gestión,» 2018. [En línea]. Available: https://www.isaca.org/en/resources/cobit.
[Último acceso: 24 junio 2022].
[23] ISACA, «Guía de Estudio de Fundamentos de la Ciberseguridad

(Cibersecurity Nexus),» 2015.
[24] MICIT, «Decreto Nº 37052-MICIT Creación del Centro de Respuesta de

incidentes de Seguridad Informática CSIRT-CR,» SCIJ, San José, 2012.
[25] Ministerio de Ciencia, Tecnología y Telecomunicaciones, «Estrategia

Nacional de Cibserseguridad de Costa Rica,» MICITT, San José, 20 17.
[26] CONASSIF, «Normativa de Tecnología de Información para las Entidades

Fiscalizadas por la Superintendencia General de Entidades Financieras,» SCIJ,
San José, 2002.
[27] CONASSIF, «Reglamento sobre gestión de la tecnología de información.

Acuerdo SUGEF 14-09,» SCIJ, San José, 2009.
[28] CONASSIF, «Reglamento General de Gestión de TI Acuerdo SUGEF 14-

17,» SIJC, San José, 2017.
Página 24 de 37
APENDICES
Apéndice 1 Entidades incluidas en el Reglamento General de Gestión de TI
En este apéndice se detalla una lista de los tipos de entidades supervisadas.

Supervisados por SUGEF:
1. Bancos comerciales del Estado;
2. Bancos creados por ley especial;
3. Bancos privados;
4. Empresas financieras no bancarias;
5. Organizaciones cooperativas de ahorro y crédito;
6. Mutuales de ahorro y préstamo y
7. Caja de ahorro y préstamos de la ANDE;
8. Cualquier otro intermediario financiero sujeto a supervisión por SUGEF.
Supervisados por SUGEVAL:
1. Puestos de Bolsa y Sociedades Administradoras de Fondos de Inversión;
2. Bolsas de Valores;
3. Sociedades de compensación y liquidación;
4. Proveedores de Precio;
5. Entidades que brindan servicios de custodia;
6. Centrales de Valores;
7. Sistemas de Anotación Electrónica en Cuenta, y
8. Sociedades titularizadoras y fiduciarias.
Supervisados por SUGESE:
1. Entidades Aseguradoras y sociedades Reaseguradoras;
2. Sucursales de entidades aseguradoras extranjeras.
Supervisados por SUPEN:
1. Operadoras de Pensiones Complementarias;
2. Fondos complementarios creados por leyes especiales o convenciones colectivas;
3. Regímenes públicos sustitutos del Régimen de Invalidez, Vejez y Muerte de la Caja Costarricense de Seguro Social.
Se exceptúan los regímenes administrados por la Dirección Nacional de Pensiones del Ministerio de Trabajo, las entidades
reguladas y fondos en proceso de liquidación, los fondos creados por leyes especiales cuya gestión de TI es contratada a una
operadora de pensiones, así como los fondos de pensiones cerrados a nuevas afiliaciones.
Página 25 de 37
Apéndice 2 Técnica árbol de problemas y objetivos
En este apéndice se detalla la técnica del árbol de problema y objetivos.
Fuente: Elaboración propia 2022. Adaptado de Metodología del marco lógico. CEPAL [8]
Página 26 de 37
Fuente: Elaboración propia 2022. Adaptado de Metodología del marco lógico. CEPAL
Página 27 de 37
Apéndice 3 Análisis del problemas y objetivos
En este apéndice se detalla el análisis de causa raíz del problema y la propuesta de fines y objetivos.
Página 28 de 37
Página 29 de 37
Página 30 de 37
Página 31 de 37
Página 32 de 37
Página 33 de 37
Apéndice 4 Comparativo de Procesos del MGTI con las funciones del NIST
En este apéndice se detalla un comparativo de alto nivel de los procesos del Marco de Gestión de TI con las funciones del Marco
de referencia de ciberseguridad de la NIS.
Página 34 de 37
Apéndice 5 Alineación del modelo de SBR al Marco de Gestión de TI
En este apéndice se detalla el mapeo de los procesos del Marco de Gestión de TI con las funciones del modelo de SBR, el cual
permite orientar la evaluación realizada por los supervisores de TI.
Página 35 de 37
Apéndice 6 Consideraciones de los Auditores Externos de TI
En este apéndice se detalla una lista de aspectos que los Superviso res de TI deben considerar al definir los Alcances de las
Auditorías Externas de TI, a saber:
Evaluar los controles específicos de

Sistemas, Servicios y Procesos de TI Evaluar los controles específicos de
Revisar el marco de gestión de TI
que respalden las actividades los procesos de negocio mediante
mediante la ejecución de pruebas críticas del negocio mediante la la ejecución de pruebas analíticas y
analíticas y sustantivas.
ejecución de pruebas analíticas y sustantivas.
sustantivas.
Evaluar los controles específicos de

Evaluar los controles específicos de las áreas prioritarias de TI
la cadena proveedores de servicios (Seguridad de la Información,
de información y de tecnologías Ciberseguridad, Computación en la
mediante la ejecución de pruebas nube, entre otras) mediante la
analíticas y sustantivas. ejecución de pruebas analíticas y
sustantivas.
Página 36 de 37
Apéndice 7 Diseño documental del proceso de Supervisión de TI
En este apéndice se detalla una lista de aspectos que se consideraron en el diseño documental del proceso de Supervisión de TI, a
saber:
1. Controles generales de la documentación. Todos los documentos de la propuesta desarrollada contienen al menos pero
no limitado la siguiente estructura de alto nivel en su diseño: 1. Propósito; 2. Alcance; 3. Documentos relacionados; 4.
Definiciones; 5. Vigencia; 6. Responsabilidades, incorporando una matriz RACI; 7. Apartado que varía según el tipo del
documento; 8 Control de Registro; 9 Control de versiones. En el caso de las política s y procedimientos se incorpora un
apartado denominado Identificación de riesgos; y las políticas incluyen un apartado sobre incumplimiento y sanciones.
2. Manual del proceso de supervisión de TI. Uso. Externo. Este documento tiene como fin presentar una descripción general
del proceso de Supervisión transversal de TI. Puede ser entregado a cualquier parte relacionada relevante interesada
pueda conocer la operación y elementos de control del proceso sin revelar aspectos confidenciales o propios de la
opera tiva.
3. Ficha del proceso de supervisión de TI. Uso Interno. Este documento tiene como fin establecer los alcances del proceso
de Supervisión transversal de TI del CONASSIF y sus Órganos de Desconcentración Máxima, la estructura del
documento contiene al menos pero no limitados los apartados siguientes: Identificador; unidades de negocio relacionadas;
procesos y sub procesos con sus respectivas entradas y salidas; objetivo y descripción del proceso; responsable; criticidad
del proceso; dependencia tecnológica; descripción del recurso humano; descripción de la infraestructura; características
del ambiente de trabajo; identificación de riesgos; métricas e indicadores; flujograma; documentos relacionados.
4. Política del proceso. Uso Interno. Este documento establecer las directrices de alto nivel y la intención sobre el proceso
de Supervisión transversal de TI del CONASSIF y sus Órganos de Desconcentración Máxima. Se hace referencia a cinco
grupos de políticas, el primero corresponde a las políticas generales sobre el proceso de supervisión y las cuatro restantes
a las particularidades de cada industria.
5. Procedimiento general de supervisión transversal de TI. Uso Interno. Este documento establece las actividades, tareas y
pasos que se deben ejecutar para la Supervisión transversal de TI, el documento contiene al menos pero no limitado las
secciones siguientes: Planificar, Ejecutar, Reportar y consolidar, Dar seguimiento e Identificar oportunidades de mejoras.
6. Instructivo de homologación de cumplimiento regulatorio y SBR. Uso Interno. Esta instrucción técnica contiene una guía
para que los supervisores de TI puedan alinear los procesos del Marco de gestión de TI con las funciones gestión y control
del modelo de Supervisión Basada en Riesgos.
7. Instructivo de SBR – Riesgo Inherente. Uso Interno. Esta instrucción técnica contiene una guía para que los supervisores
de TI puedan identificar los riesgos inherentes de TI
8. Instructivo SBR – Gestión de TI. Uso Interno. Esta instrucción técnica contiene una guía para que los supervisores de TI
puedan valorar la gestión de TI alineada al Marco de Gestión de TI.
9. Instructivo SBR – Funciones de control. Uso Interno. Esta instrucción técnica contiene una guía para que los supervisores
de TI puedan valorar las funciones de control relacionadas con TI alineada a los procesos del Marco de Gestión de TI, y
otras guías de áreas prioritarias de TI.
10. Instructivos Áreas prioritarias de TI. Uso Interno/Externo. Corresponde a un conjunto de instrucciones técnicas sobre las
guías para que los supervisores de TI puedan valorar las diferentes áreas prioritarias de TI tales como: Seguridad de la
Información, Ciberseguridad, Elementos mínimos de los contratos y acuerdos de nivel de servicio, Automatización de
procesos con RPA, entre otros.
11. Formularios. Interno/Externo. Corresponde a un conjunto de plantillas o formularios que permiten evidenciar las
actividades, tareas o pasos de los procesos.
12. Procedimientos, Instructivos y formularios de cumplimiento normativo. Uso Interno/Externo. Corresponde a un conjunto
de documentos que permiten controlar las actividades establecidas en el Reglamento General de Gestión de TI. Acuerdo
SUGEF 14-17; los cuales incorporan la gestión de: El perfil de TI, La Matriz de evaluación, Los Planes de acción,
Definición del Alcance de la Auditoría Externa de TI, Perfil de TI, Revisión y valoración del Informe del auditor externo
de TI, Remisión del Reporte de Supervisión, Establecer la Resolución Razonada sobre el Marco de Gestión de TI, entre
otros.
Página 37 de 37

Regulación y Supervisión de TI y Ciberseguridad

Cargado por

Información del documento

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

Regulación y Supervisión de TI y Ciberseguridad

Cargado por

Copyright:

Formatos disponibles

Nota aclaratoria de la versión 2.

Los comentarios no expresan una

Tecnologías de Información y lector final. Este documento fue creado

al modelo de Supervisión Basada en institutions with which the author is

First section. Introduction. It shows us a summary of the context, TABLA DE CONTENIDOS

III. RIESGOS CIBERNÉTICOS

B. Marcos y Modelos B.4 Autoridad Monetaria de Hong Kong

B.6 Autoridad Bancaria Europea V. MARCOS, ESTÁNDARES Y MEJORES PRÁCTICAS SOBRE

A. Estándares del NIST

A. Desarrollo histórico del modelo de supervisión del

Modelo de servicios de supervisión transversal de TI

Fuente: Elaboración propia. (2022).

Propuesta de rediseño Desde la perspectiva del supervisado se tiene que el rediseño

D Mecanismos de comunicación con las entidades

Se propone realizar planes de gestión de cambio y

[1] World Economic Forum, Informe de Riesgos Globales 2022, 2022.

[20] ISACA, «Acerca de,» [En línea]. Available: https://www.isaca.org/why-

[21] ISACA, «Marco de Referencia COBIT 2019: Introducción y metodología,»

[22] ISACA, «Marco de Referencia CobiT 2019: Objetivos de Gobierno y

[23] ISACA, «Guía de Estudio de Fundamentos de la Ciberseguridad

[24] MICIT, «Decreto Nº 37052-MICIT Creación del Centro de Respuesta de

[25] Ministerio de Ciencia, Tecnología y Telecomunicaciones, «Estrategia

[26] CONASSIF, «Normativa de Tecnología de Información para las Entidades

[27] CONASSIF, «Reglamento sobre gestión de la tecnología de información.

[28] CONASSIF, «Reglamento General de Gestión de TI Acuerdo SUGEF 14-

Apéndice 1 Entidades incluidas en el Reglamento General de Gestión de TI

En este apéndice se detalla una lista de los tipos de entidades supervisadas.

En este apéndice se detalla la técnica del árbol de problema y objetivos.

Evaluar los controles específicos de

Evaluar los controles específicos de

También podría gustarte