Comisión Nacional de Bancos y

Seguros
Normas relacionadas con el riesgo
tecnológico

Gerencia de Riesgos
 Antecedentes

1998 2001 2005 2012 2022

Inventario del Normas para regular Aprobación de las

Política de Procesamiento de Normas para la Gestión
Equipo Informático la administración de
Respaldos de información fuera de de TI, Ciberseguridad y
y Aplicaciones o las TIC en las
Información. territorio nacional Continuidad del
Programas Instituciones de
(Resolución (Resolución GE Negocio.
Computacionales. Sistema Financiero.
No.496/08-12-98) No.266/21-02-2012) (Resolución GRD
(Resolución (Resolución
No.566/24-07-2001) No.1301/22-11-2005) No.793/16-12-2022
 Estructura General de la Normas para la Gestión
de TI, Ciberseguridad y Continuidad de Negocio
I II La Norma consta de 48 artículos,
Disposiciones Gestión de los
Generales Riesgos de TI agrupados en nueve (9) capítulos.
IX
Disposiciones III
Finales y Gobierno y
Transitorias Gestión de TI Esta norma, se basa en estándares y mejores
Normas para la prácticas internacionales, tales como; ISO
Gestión TI, 38500 – Gobierno de TI, ISO 27001 –
VIII Ciberseguridad IV Seguridad de la Información, ISO 22301 –
Historial y y Continuidad Tercerización de Gestión de Continuidad de Negocio, Marco
Monitoreo Servicios de TI
de Negocio de Trabajo para la Ciberseguridad del
NIST; así como CoBIT, ITIL, CMMI,
VII V DRII, entre otros.
Auditoría de Gestión de
Sistemas de VI
Seguridad de la La Norma se aplicará bajo el Principio de
Información Información y
Gestión de Ciberseguridad Proporcionalidad, en función del tamaño,
Continuidad del
Negocio naturaleza, complejidad y perfil de riesgos de las
Instituciones Supervisadas.
 Capítulo II – Gestión de los Riesgos de TI

Políticas,
procedimientos,
02
controles y Declaración de apetito y
herramientas 01 estrategia de gestión de
riesgo tecnológico

03

Función encargada de la
gestión del riesgo 04
tecnológico

Proceso de revisión (Mejora continua)

 Capítulo III – Gobierno y Gestión de TI
Alineación
1 Estratégica

Gobierno Marco de
2
de TI Gestión de TI

3 Estructura
Marco de Gestión de TI, conformado por Organizacional
políticas, procesos y procedimientos,
garantizando que toda tarea o proceso interno
de TI esté debidamente documentado, con el 4 Cambio o actualización
objetivo de lograr un entorno operativo que del Core Bancario
tenga un nivel adecuado de madurez.
 Capítulo IV – Tercerización de Servicios de
TI

Debida Tercerización
Diligencia Significativa

Gestión de Servicios en
Contratos la nube
 Capítulo V - Gestión de la Seguridad de la
Información y Ciberseguridad

Confidencialidad

¿Qué es Ciberseguridad?

Integridad Disponibilidad
 Capítulo V - Gestión de la Seguridad de la
Información y Ciberseguridad

Identificación, detección, análisis de

Proteger activos de
incidentes, así como protección de los activos
Identificar sistemas de
información información de información e implementación de las
medidas correctivas.

Notificación a la Comisión de los incidentes

Gestión de la de seguridad de la información y
Ciberseguridad ciberseguridad que afecten de manera
Recuperar y Detectar la
aprender ocurrencia de significativa.
eventos

Responder
oportunamente
Capítulo VI – Gestión de Continuidad del
Negocio

• Marco de Gestión de Continuidad

• Fases de la Continuidad
• Ejecución de pruebas y ejercicios
• Procesamiento de datos
• Reporte de incidentes de continuidad
 LINEAMIENTOS PARA PREVENIR Y MITIGAR LA OCURRENCIA DE
FRAUDES Y ESTAFAS CIBERNÉTICAS EN CONTRA DEL USUARIO
FINANCIERO (RESOLUCIÓN GRD No.247/23-03-2023)

Disposiciones Generales
01
Estrategia de mitigación y educación
02 financiera

03 Controles para la mitigación

04
Disposiciones Finales - RESPONSABILIDAD
Resumen Ejecutivo…
Estrategia y Concientización
• Análisis de riesgos (Gestión Operativa y FV)
• Educación al Usuario Financiero
• Identificación de nuevas tipologías de fraude

Mitigación (Controles)
• Notificación de transacciones realizadas
• 2FA
• Factor de demora
• Restricción de envió de enlaces
• Sistemas de Prevención en Tiempo Real

Rendición de Cuentas
• Reporte de Eventos
• Denuncia ante las Autoridades
• Responsabilidad
Reflexión
Correos para remisión de información o
consultas sobre TI
• Para que las IS remitan reportes inmediatos
de ciberincidentes o incidentes de
continuidad de negocios, de acuerdo con lo
RiesgoOperacional@cnbs.gob.hn establecido en las NORMAS PARA LA
GESTIÓN DE TECNOLOGÍAS DE
INFORMACIÓN, CIBERSEGURIDAD Y
CONTINUIDAD DEL NEGOCIO.
• Para consultas de las IS relacionadas con
las NORMAS PARA LA GESTIÓN DE
consultasNormasGTI@cnbs.gob.hn TECNOLOGÍAS DE INFORMACIÓN,
CIBERSEGURIDAD Y CONTINUIDAD
DEL NEGOCIO.