Banco Industrial

En la actualidad ofrecemos servicios a través de una red de más de 2700

puntos de servicio en toda la República de Guatemala, así como acceso
electrónico desde cualquier lugar del mundo.

Somos una organización financiera conscientes de nuestra responsabilidad

para con nuestros clientes, nuestro personal, nuestra comunidad y nuestros
accionistas.

Nos esforzamos en satisfacer de manera eficiente y cumplida a nuestros

clientes; creemos que nuestro personal debe ser estimulado, a fin de propiciar su
desarrollo y promoción integral; que en nuestra comunidad deben ser exaltados
los méritos de guatemaltecos prominentes y ejemplares, mediante la difusión de
sus valores y riqueza humana; que nuestros accionistas deben lograr los mayores
beneficios, garantizándoles siempre el mejor rendimiento por su inversión, pero
fundamentalmente, creemos en la innovación, esa dinámica característica que nos
ha convertido en la corporación líder del sector financiero regional.

Lo que empezó como un sueño de varios empresarios del sector industrial

guatemalteco, con el tiempo se convirtió en el principal banco del sistema bancario
nacional.

Historia de Corporación BI

Banco Industrial emergió en el seno de la Cámara de la Industria de Guatemala

a finales de la década de los sesenta, con el propósito de apoyar al sector
industrial del país. La iniciativa tuvo lugar en la época del gobernante Enrique
Peralta Azurdia, decretos ley fueron la base para conformar dicho banco. De esta
forma, el 17 de junio de 1968 abrió sus puertas y empezó a operar.
 Con el respaldo de un centenar de industriales, el banco se fundó con un capital
de 25 millones de quetzales, que se recaudó por medio del aporte del 10% de las
exoneraciones otorgadas a las industrias en Guatemala.

Fue entonces cuando Banco Industrial inició su desarrollo y su historia empezó

a llenarse de logros y toda clase de momentos que han construido su sólida
trayectoria.

Épocas claves de Banco Industrial

1974
El 10 de octubre de 1974 la Compañía Almacenadora, S.A. entregó los planos
completos del proyecto del Centro Financiero y se inició la construcción del
edificio que más adelante albergaría a Banco Industrial y donde funcionan
actualmente las oficinas centrales del mismo.

1976
Durante el terremoto ocurrido el 4 de febrero de 1976 salieron a luz valores
como la valentía y la solidaridad de la institución, siendo ésta la única que abrió
sus puertas un día después de haber ocurrido la catástrofe.

1981
En noviembre de 1981, nace Financiera Industrial, S.A. Empresa que forma
parte del Grupo Financiero Corporación BI, siendo una de las principales
financieras en Guatemala, dedicada a impulsar el desarrollo económico del país a
través de inversiones en Pagarés Financieros, financiamiento de proyectos
industriales y Fideicomisos.

1984
 En 1984 nació la empresa emisora de tarjetas de crédito Contecnica, S.A, bajo
la marca Bi Credit Visa, con la que se lanzó la primera tarjeta de crédito en el país
al servicio de la sociedad guatemalteca. Posteriormente, en 1988 Banco Industrial,
lanzó Bi Cheque, la primera tarjeta de débito.

1991
El 06 de noviembre de 1991, nace Westrust Bank (International), Ltd., como un
banco domiciliado en Nassau, Bahamas, bajo la regulación y supervisión del
Banco Central de Bahamas. El 09 de julio de 2003, se convirtió en la primera
entidad fuera de plaza "offshore", autorizada en Guatemala ante la
Superintendencia de Bancos como miembro del Grupo Financiero Corporación Bi.

1999
En 1999 Banco Industrial se convirtió en el primer banco guatemalteco
calificado por Fitch Ratings, agencia calificadora de riesgo a nivel mundial; y a
partir de 2004 Banco Industrial empezó a ser calificado además por: Standard
&Poor’s y Moody’s Investor Service.

2003
En el año 2003 se conformó el Grupo Financiero Corporación Bi, logrando
cumplir con los objetivos trazados por la entidad para el nuevo milenio.

2006
Banco Industrial ha desempeñado un papel importante en la economía regional
y nacional, al absorber entidades financieras guatemaltecas como fueron Banco
de Occidente en 2006 y Banco del Quetzal en 2007. Ese mismo año se hizo cargo
de la cartera del liquidado Banco de Comercio.

2008
 En 2008 la empresa Holding de Banco Industrial, Bi Capital Corporation, que se
encuentra establecida en Panamá, adquirió una importante mayoría de acciones
de Banco del País y Seguros del País, que se encuentra ubicada como la quinta
institución financiera más importante de Honduras. De esa forma se logró
establecer más de 4,000 puntos de servicio, convirtiéndose en uno de los grupos
financieros más grandes de Centroamérica.

2010
Recibió por primera vez el galardón mundial como “El Banco emisor con más
efectividad a nivel mundial en la prevención de fraudes de tarjetas de crédito y
débito” otorgado por VISA.

2011
Inició operaciones en territorio salvadoreño al constituir Banco Industrial El
Salvador, con el objetivo de apoyar al sector productivo de esa nación y contribuir
al crecimiento del intercambio comercial de servicio en los países del triángulo
norte.

Las revistas financieras TheBanker, Euromoney, LatinFinance reconocieron en

2011 el desempeño de Banco Industrial, nombrándolo como el mejor del país.

2012
El periódico Moneda, que circula en la región, reconoció al conglomerado
conformado por Corporación Bi, Banco Industrial El Salvador y Grupo Financiero
del País, como una de las agrupaciones más sobresalientes de Centroamérica,
ubicándolo en el primer lugar de ranking por activos.
Los productos Divídelo Todo y la tarjeta Bi Cheque, fueron ganadoras en los
premios Effie, por sus campañas publicitarias 2010-2011.

2013
 Recibió por cuarto año consecutivo el galardón mundial como “El banco emisor
con más efectividad a nivel mundial en la prevención de fraudes de tarjetas de
crédito y débito”. Premio que otorga VISA y que respalda la gestión eficiente y el
compromiso que ofrece a sus clientes.

2015
Durante este 2015, el compromiso de mejorar e innovar para asegurar la
satisfacción de los clientes, impulsó a que Corporación BI decidiera certificar el
área de Bi Premium bajo los prestigiosos estándares internacionales de ISO 9001
y obtener un nuevo respaldo para garantizar su servicio.

Las revistas financieras The Banker, Euromoney, LatinFinance y Global Finance

han reconocido a Banco Industrial en numerosas ocasiones como Bank of the
Year desde el año 2004.

Iniciativas emprendedoras del grupo del cual es parte Banco Industrial:

Banco Industrial fue pionero en ampliar el horario de atención al cliente en el
año 1978 hasta las ocho de la noche. También fue el primero en poner en línea a
toda su red de agencias; esta iniciativa le valió ser el primer banco en
Centroamérica y tercero en América Latina en llevarla a cabo, y tuvo como
propósito permitir a los clientes realizar transacciones en cualquiera de sus
sucursales ubicadas en todo el país.

En 1994 invirtió en una red propia de telecomunicaciones, siendo el único en la

región en contar con su propia red de microonda, que actualmente le permite
enlazarse con todas las empresas de la corporación. Fue pionero en ofrecer el
servicio de autobancos en el país en 1988, y el primer banco en poner a
disposición de los clientes la primera tarjeta de crédito y débito en Guatemala.
 En 1995 inició a prestar servicios de Banca en el Hogar y Banca Corporativa, a
través de medios electrónicos, facilitándoles el acceso de transacciones bancarias
a sus clientes.

En el año 2000 nació la Banca Personal, por Internet, con Bi en Línea y la

primera Banca Empresarial Bi Banking: primera en Guatemala.

En el año 2000 también fue la primera institución financiera del país en brindar
un servicio Call Center, que le permite estar más cerca de las necesidades de sus
clientes las 24 horas, los 365 días del año.

En 2012, BI inauguró la primera agencia bancaria del futuro. La tecnología, el

autoservicio, la atención personalizada y el diseño, hacen que los procesos
bancarios sean una experiencia sin precedente.

Banco Industrial fue la primera entidad financiera del país en incorporar la

tecnología chip a tarjetas Bi Credit Visa y Bi Cheque Visa, con el propósito de
reducir considerablemente los riesgos de fraude y clonación.

En 2013, Inicia “Cero Riesgo” para los clientes BI, Es el servicio que protege al
tarjetahabiente de transacciones no reconocidas, realizadas con su tarjeta de
crédito o débito emitida por Contecnica y Banco Industrial, únicamente con
reportarlo al 1717. Las coberturas son las siguientes: Consumos no reconocidos,
retiros no reconocidos, robo y extravío.

En 2015, Banco Industrial ingresa al Marketing Hall of Fame Guatemala como

Gran Marca, siendo el primer banco en obtener este logro, fruto de la gran
trayectoria y esfuerzos de marca.
Misión

El desarrollo de nuestros Colaboradores, Clientes, Accionistas, Corporación y

de nuestra comunidad.

Visión

Ser la primera opción para los centroamericanos y la institución financiera mas

grande de Centroamérica.

Valores

 Entrega
 Trabajo en equipo
 Innovación
 Amor a la patria
 Integridad

Alcance

Realizar un análisis de riesgos y establecer un plan de continuidad del negocio

para el servicio de banca en línea del Banco Industrial, incorporando referencias
de normas ISO para la gestión de la seguridad de la información y gestión de la
continuidad del negocio, implementado estrategias tecnológicas para resguardar
activos de la organización, como también se desarrollará políticas para prevenir y
mitigar la interrupción de los procesos de la organización.
Análisis y gestión del riesgo

Con esto pretendemos comprender el riesgo de la forma más detallada posible.

Es el primer paso en el estudio de la evolución del riesgo. Lo usaremos para tomar
decisiones en cuanto a si debemos tratar los riesgos y los métodos que
utilizaremos.

Nos sirve para conocer las consecuencias y la probabilidad de que algún riesgo

se produzca, sin perder de vista los controles implantados. Estos parámetros nos
servirán para establecer el nivel del riesgo.

Debemos estudiar en profundidad todos los factores que pueden influir en las

causas y en las consecuencias. Una situación puede tener muchas causas y
muchas consecuencias. Debemos de considerar los controles de riesgo que
tenemos implementados en la organización y la eficacia y eficiencia de estos.

El análisis del riesgo comprende las posibles consecuencias que pueden traer
consigo determinadas situaciones y la probabilidad de que estas se produzcan con
el objetivo de medir el nivel del riesgo. Cuando la probabilidad sea muy baja, no
necesitaremos más de un parámetro para ser capaces de tomar una decisión.

Riesgo.

Es la vulnerabilidad ante un potencial perjuicio o daño para las unidades,

personas, organizaciones o entidades. Cuanto mayor es la vulnerabilidad mayor
es el riesgo, pero cuanto más factible es el perjuicio o daño, mayor es el peligro.

Se identificaron los siguientes riesgos para el servicio de banca en línea, estos

deben ser analizados para determinar el impacto que tendrían en el servicio cada
uno de estos riesgos si ocurrieran, así también la probabilidad de que ocurran.
  Fallas en servicio de internet.
 Fallas en el servicio eléctrico.
 Ausencia de personal.
 Backup de la información.
 Proveedor de Hosting.
 Proveedor de Dominio.
 Certificados SSL.
 Seguridad de ingreso de usuarios.
 Errores operacionales en usuarios.
 Actualizar diseño de la plataforma.

Probabilidad

Se entiende como la posibilidad de ocurrencia del riesgo; esta puede ser

medida con criterios de frecuencia, si se ha materializado.

Para el análisis de los riesgos que anteriormente fueron listados se establece

una probabilidad de ocurrencia según la tabla a continuación.

¿Cuál es la probabilidad que este riesgo se produzca dentro de

Probabilidad un plazo de 12 meses, o en un periodo de tiempo que puede
tener impacto en el logro de los objetivos estratégicos?
5 90% - 100% de probabilidad de que el riesgo ocurra dentro de
Casi Seguro 12 meses.
4 60% - 90% de probabilidad de que el riesgo ocurra dentro de
Muy Probable 12 meses.
3 30% - 60% de probabilidad de que el riesgo ocurra dentro de
Probable 12 meses.
2 10% - 30% de probabilidad de que el riesgo ocurra dentro de
Poco Probable 12 meses.
1 0% - 10% de probabilidad de que el riesgo ocurra dentro de 12
Raro meses.
 Impacto

Se entiende como las derivaciones que puede ocasionar a la organización de la

materialización del riesgo. Estas a su vez modificaran el alcance de objetivos y el
nivel en que lo hagan será proporcional a su impacto.

Impacto
5
Catastrofico
4
Grave
3
Serio
2
Moderado
1
Insignificante

Matriz de análisis de riesgos

Matriz de análisis de riesgos de la banca electrónica

No. Riesgo Probabilidad Impacto Resultado
R1 Falla en el servicio
1 5 5
de internet
R2 Falla en el servicio
1 5 5
eléctrico
R3 Ausencia de
personal del 3 4 12
departamento de TI
R4 Falla del backup de
1 5 5
la información
R5 Falla del proveedor
1 5 5
de Hosting
R6 Falla del proveedor
1 5 5
de Dominio
R7 Seguridad deficiente
de ingreso de
2 5 10
usuarios al Data
Center
R8 Perdida de
comunicación de la 4 4 16
aplicación con la BD
R9 Actualización
defectuosa de la 1 5 5
aplicación
R10 Robo de
información de la 3 5 15
aplicación

Escala de riesgo

Valor Riesgo
1a5 Insignificante
6 a 10 Moderado
11 a 15 Serio
16 a 20 Grave
21 a 25 Catastrófico
 Mapa de Calor Riesgo Inherente

Casi seguro R3
Muy probable R8
Probabilidad

Probable
Poco
R1, R2 R7
Probable
Raro R4, R5, R6 R9 R10
Moderad Grav Catastrófic
Insignificante Serio
o e o
Impacto

Tratamiento de los riesgos

Riesgo Tratamiento Probabilidad Impacto Residual

Creación de un manual
de procesos en donde
Ausencia del estén estipulados a
personal del detalle cada una de las
3 2 6
departamento de actividades
TI correspondientes al
servicio de banca en
línea.
Implementación de una
Seguridad
o más medidas de
deficiente de
seguridad biométrica
ingreso de 1 5 5
para el ingreso a las
usuarios al Data
instalaciones del Data
Center
Center.
Perdida de Creación de un canal 1 4 4
comunicación de alternativo/redundante
 de comunicación para
la aplicación con
mitigar la falla del
la BD
canal principal.
Adquirir un certificado
Robo de SSL para garantizar la
información de la seguridad de las 1 5 5
aplicación transacciones de la
aplicación.

Mapa de Calor Riesgo Residual

Casi seguro
Muy probable
Probabilidad

Probable R3
Poco
R1, R2, R4
Probable
Raro R5, R6, R7 R8, R9, R10
Insignificant Grav Catastrófic
Moderado Serio
e e o
Impacto

MEJORA CONTINUA, CON NORMAS ISO

La implementación de un sistema de gestión según las normas ISO deben ser
diseñadas e implantadas de forma específica en cada organización, esto quiere
decir que debe ser acoplada según la necesidad, mediante la metodología general
de actuación de estas normativas como la de PDCA (Plan, Do, Check, Act)
(Planificar, Implementar, Revisar y Mejorar).
La metodología PDCA garantiza la
interacción de los usuarios con los diferentes
sistemas que se encuentran en su entorno,
creando un ambiente social e integral logrado
una mejora continua en los sistemas de gestión.

IMPLANTANDO LA NORMA ISO 27001

A la hora de implantar un sistema de gestión de la seguridad (SGSI) según la
norma iso 27001, se debe considerar como eje central el sistema de evaluación
de riesgos, permitiendo a la dirección de la empresa tener la visión necesaria par
definir el alcance y ámbito de la aplicación de la norma, asi como las políticas y
medidas a implantar
Las fases de esta metodología son las siguientes:

1. Identificar los Activos de Información y sus responsables, entendiendo por

activo todo aquello que tiene valor para la organización, incluyendo soportes
físicos (edificios o equipamientos), intelectuales o informativas (Ideas,
aplicaciones, proyectos...) así como la marca, la reputación etc.
2.- Identificar las Vulnerabilidades de cada activo: aquellas debilidades propias
del activo que lo hacen susceptible de sufrir ataques o daños.

3.- Identificar las amenazas: Aquellas cosas que puedan suceder y dañar el

activo de la información, tales como desastres naturales, incendios o ataques de
virus, espionaje etc.

4.- Identificar los requisitos legales y contractuales que la organización está

obligada a cumplir con sus clientes, socios o proveedores.

5.- Identificar los riesgos: Definir para cada activo, la probabilidad de que las
amenazas o las vulnerabilidades propias del activo puedan causar un daño total o
parcial al activo de la información, en relación a su disponibilidad, confidencialidad
e integridad del mismo.

6.- Cálculo del riesgo: Este se realiza a partir de la probabilidad de ocurrencia

del riesgo y el impacto que este tiene sobre la organización (Riesgo = impacto x
probabilidad de la amenaza). Con este procedimiento determinamos los riesgos
que deben ser controlados con prioridad.

7.- Plan de tratamiento del riesgo: En este punto estamos preparados para
definir la política de tratamiento de los riesgos en función de los puntos anteriores
y de la política definida por la dirección. En este punto, es donde seleccionaremos
los controles adecuados para cada riesgo, los cuales irán orientados a:
 Asumir el riesgo
 Reducir el riesgo
 Eliminar el riesgo
 Transferir el riesgo
 ISO 22301
La norma ISO 22301 está pensada para ser implementada por cualquier tipo de
organización y sea pública o privada sin importar su tamaño.
Algunos razones por las que se debe tomar en cuenta implementar ISO 22301
 El daño que se puede producir a una organización por no haber previsto que hacer
en circunstancias adversas puede ser causa de cierre o de suspensión de
actividades y pérdidas patrimoniales
 El método de la norma ISO 22301 puede ser utilizado por cualquier empresa para
conocer y tomar medidas no siempre costosas para disminuir el riesgo
 Las políticas y la cultura de prevención del riesgo reduce los costes operacionales
y fomenta las buenas prácticas.

Una vez se establecen todos los objetivos de la política de continuidad de

negocio, no sólo debemos tener en cuenta la protección de las aplicaciones, los
datos y los servicios según la empresa utilizando una amplia gama de amenazas,
sino que tenemos que evaluar otros aspectos prácticos a tener en cuenta como
pueden ser:

 Limitaciones en el presupuesto.
 Limitaciones en personal

Al momento de realizar el diseño la implantación de la continuidad de negocio es

necesaria:
1. Automatizar Al día de hoy, las organizaciones no pueden seguir
dependiendo de un manual en el que tengan que consultar todos los procesos
humanos y tecnológicos para recuperarse de los cortes y restaurar el acceso a los
datos y las aplicaciones.
 La recuperación tras un desastre natural ocurrido durante la últimos diez años,
impone a las organizaciones la implementación de sistemas automatizados de
recuperación, incluso para las empresas que hayan planeado realizar la
recuperación deben disponer de centros de datos a distancia.
Otro motivo es la disponibilidad del personal que tiene que realizar las tareas de
recuperación. En situaciones en los que se produzcan desastres naturales, es muy
común que los trabajadores no lleguen a tiempo a sus puestos de trabajo o a los
centros de recuperación, ya sea por los atascos ocasionados o por la
disponibilidad de transporte público, etc.

2. Las máquinas virtuales fallan Se debe hacer frente a la posibilidad de que

las máquinas virtuales, por mucho nivel de protección que deseamos tener, tiene
que estar sujetas a fallos e indisposiciones. El plan de continuidad tiene que ser un
plan mixto, en el que se contemple la copia de seguridad de los servidores
virtuales.

3. La importancia de las pruebas Un buen plan de continuidad, será siempre

imperfecto sino se realizan pruebas de funcionamiento. Las pruebas son muy
importantes para establecer un buen plan de comunidad. Dicho factor, es uno de
los más críticos a la hora de enfrentarnos a un sistema que responda cuando lo
necesitamos. Las pruebas tienen que estar planificadas con periodicidades
adecuadas, deben contemplar aspectos de fiabilidad en la permuta de los
sistemas de copia de seguridad que nos garanticen la continuidad del negocio.

4. Deslocalización del centro de datos El primer consejo será establecer una

distancia razonable entre la producción y los lugares de recuperación con el fin de
mantenerse alejado de los problemas regionales. Muchas PYMES poseen un solo
centro de datos, por lo que se aconseja que realicen negociaciones con sus
proveedores de servicios en la nube y así disponer de una opción de respaldo en
una instalación remota.
 5. Establecer prioridades Un Sistema de Gestión de la Continuidad
de Negocio según la norma ISO 22301 genera un impacto económico que no se
puede considerar como insignificante. Para poder implantar una solución
económicamente viable será necesario establecer ciertas prioridades, se tiene que
realizar un análisis de los procesos de negocio en profundidad para establecer las
aplicaciones necesarias que deben estar disponibles de inmediato y las que
pueden esperar un tiempo.

6. Continuidad de negocio Nuestro Sistema de Gestión de Continuidad de

Negocio según la norma ISO 22301 se considera como un servicio gestionado,
está dentro de todos los que componen la cartera de servicios TI. Para ello
tenemos que aprovechar la experiencia en la selección de proveedores de TI, para
seleccionar los sistemas que nos ayudarán durante la recuperación si sucediera
una interrupción del servicio.

7. Impulsar la movilidad Las organizaciones que promocionan el BYDO

(trabaja desde tu propio dispositivo), favorecen la implementación de la norma ISO
22301. Es suficiente con tener una conexión a internet fiable, por lo que se
considera un factor que contribuye con facilitada de que un porcentaje relevante
de nuestros trabajadores no sean interrumpidos en las tareas que deben realizar
desplazándose. Con esto, no se está protegiendo de forma directa las incidencias
que puedan suceder.