El informe del auditor interno con corte al 30 de junio de 2015, indica que del plan anual de trabajo de la división de auditoria interna para el año 2015, se han concluido 21 actividades, 10 se encontraron en proceso de ejecución y 43 estaban pendientes de ejecución. Además, se han efectuado auditorías a fin de validar la administración del riesgo:
Revisión de la administración de perfiles y usuarios de los aplicativos relacionados con la información de Recursos Humanos.
Revisión del cumplimiento de la Regulación No. 058-2014 del Banco Central del Ecuador sobre el sistema de amortización alemán o de cuotas de capital iguales y de los simuladores de crédito.
Procesos de Normalización.
Las recomendaciones producto de las oportunidades de mejora detectadas, fueron comunicadas a los responsables para la ejecución de los respectivos planes de acción.
Al 15 de mayo de 2015, se realizó el comité de administración de riesgos para tratar el Riesgo Operativo y su Componente de Seguridad de la Información. Entre los puntos tratados estuvieron: 1.- Revisión del avance en la implementación del Sistema de Gestión de Seguridad de la información (SGSI).
2.- Presentación de resultados Informe de Trustware: Diagnostico de la Arquitectura de Seguridad de la información con relación a la norma ISO 27001 y PCI-DSS versión 3.0
3.- Presentación de resultados del informe de Trend Micro: Pruebas de Penetración y Ethical Hacking. 4.- Revisión al proceso de Administración de Usuarios.
5.- Incidentes de Seguridad de la Información.
6.- Presentación del Informe de la división de Auditoria. 7.- Revisión al Proceso de Vinculados.
Las pérdidas operacionales por riesgo operativo registradas en los balances de la institución, ascendieron al 30 de junio de 2015 a US$ 1.541.393,53 y correspondieron a fraudes externos y pérdidas en ejecución de procesos.
De acuerdo con la resolución de la Junta Bancaria 3066, Banco Solidarios S.A. tuvo los siguientes cumplimientos a junio 2015: Con respecto a las medidas de seguridad en los canales electrónicos mostró un cumplimiento del 72,86%, en seguridad de la información cumplió un 88,33%, en la categoría tecnología de información en un 83,33%, responsabilidad en la administración del riesgo operativo en un 93,13% y en servicios provistos por terceros registró un cumplimiento del 100%.
www.ratingspcr.com 37 de 42
Sistema de Riesgo Operacional
Banco Solidario S.A. cuenta con un software que permite registrar los eventos de riesgo operativo reales y potenciales. La entidad ha desarrollado varias iniciativas de capacitación en riesgo operativo incluyendo inducciones al nuevo personal, charlas en oficinas a gerentes y jefes operativos, así como un curso e-learning a todo el personal del Banco.
El sistema contempla también la cuantificación de riesgo operacional, donde se determinan las pérdidas esperadas por deficiencias o fallas en personas, procesos, tecnología de la información y factores externos.
Según el acta del Comité De Administración Integral De Riesgos (CAIR), reportó las actividades realizadas para tratar el Riesgo Operativo y su componente seguridad de la información, entre las que destacan:
Presentación de resultados informe de Trustwave: Diagnóstico de la Arquitectura de Seguridad de la información con relación a la norma ISO 27001 y PCI-DSS versión 3.0.
Presentación de resultados del informe de Trend Micro: Pruebas de penetración y Ethical Hacking.
Revisión al proceso de Administración de Usuarios.
Presentación informe de la división de Auditoría: Revisión a la administración de perfiles y usuarios de los aplicativos relacionados con la información de los recursos humanos.
Revisión al proceso de vinculados.
Seguridad de la información
Banco Solidario S.A., cuenta con una Política de Seguridad de la Información aprobada, difundida e implementada. La política está basada en mejores prácticas internacionales para la administración de la Seguridad de la Información: la norma internacional ISO/IEC 27001:2013 – “Sistema de Gestión de la Seguridad de la Información”, la norma PCI-DSS v.3.0 – “Seguridad en Datos de Tarjetas de Pago” y el estándar internacional ISO/IEC 27005:2011” Guía para la Gestión de Riesgos de Seguridad de la Información”.
El Banco Solidario S.A. coordinó con las diferentes áreas del negocio para la implementación de los controles requeridos en la normativa JB-2012-2148 respecto a Medidas de Seguridad en Canales Electrónicos y que en el último reporte solicitado por la Superintendencia de Bancos en junio 2014, se notificó el cumplimiento al 100% de los requerimientos que tenían hasta esa fecha como tope de implementación. Con la publicación de la normativa JB-2014-3066 en septiembre de 2014, la Institución trabajó hasta diciembre de 2014 en la planificación e implementación de los nuevos requerimientos en lo que respecta el ámbito de Seguridad de la Información.
En este sentido, la Institución mantiene aprobados y publicados manuales que hacen tangibles todos los lineamientos contenidos en la Política de Seguridad de la Información, publicada en octubre de 2012 y su última actualización en noviembre de 2014:
Clasificación de la Información
Manejo de Incidentes
Instructivo para el Monitoreo de Pistas de Auditoría
Instructivo de Sanitización de datos
Manejo de Cultura de Seguridad de la Información
A esta gestión, apoyan documentos que si bien están bajo la responsabilidad de Tecnología, se encuentran aprobados y publicados en el segundo trimestre del 2014 y están alineados a los estándares antes citados:
Política de Administración de la Tecnología de información.
Política de gestión de Cambios Tecnológicos.
Requerimientos e Implementación de Mejora, Cambio o Desarrollo.
Cambio de Parámetros.
Cambios de Infraestructura.
Política de Soporte a usuarios.
Soporte Usuarios.
www.ratingspcr.com 38 de 42
Norma de Capacidad y Disponibilidad Tecnológica.
Disponibilidad de Aplicaciones y Software Base.
Disponibilidad de Infraestructura.
Administración de Activos de Tecnología.
La división de riesgos estableció un plan de trabajo con alcance al primer semestre del 2015, que se propuso cumplir para garantizar la adecuada gestión de seguridad de la información. Dicho plan fue aprobado a inicios de año. A continuación se indican las actividades realizadas en el primer trimestre de 2015, correspondientes a dicho plan:
Implementar los requerimientos establecidos en la normativa JB-2014-3066 en lo que respecta a la sección seguridad de la información y seguridad en canales electrónicos.
Ejecución de diagnóstico de la arquitectura de seguridad de la información y protección e la información.
Ejecutar planes de acción para cubrir brechas de seguridad del informe del diagnóstico de arquitectura de seguridad de la información.
Analizar los riesgos de seguridad de la información.
Gestionar los activos de la información: Propietarios de la información, clasificación/reclasificación por áreas de negocio para implementar medidas y controles de acuerdo a la categoría definida.
Monitorear Logs de eventos de seguridad de la información y elaboración de informes de revisión de pistas de auditoría.
Gestionar incidentes de seguridad de la información apoyando con la investigación, seguimiento, levantamiento de informes y toma de decisiones.
Implementar curso E-Learning de seguridad de la información. Ejecutar programa de inducción/ capacitación coordinado con RRHH, al personal del banco.
Evaluar eficacia de políticas, normas, procedimientos y controles establecidos. Levantar indicadores de gestión.
Según el acta del Comité De Administración Integral De Riesgos (CAIR), en cuanto a Seguridad de la Información, se indica lo siguiente:
Se realizó la revisión con un recuento del alcance regulatorio que se debe implementar para dar cumplimiento al Sistema de Gestión de Seguridad. El cual se resume en los siguientes 4 puntos:
- Aplicación de la serie de estándares ISO/ IEC 27000. Artículo 21, Sección VII, Capítulo V, Título X del libro I de las normas generales para las instituciones del Sistema Financiero.
- Aplicación de la Sección VII, Título II del libro I de las normas generales para las instituciones del sistema financiero.
- Aplicación de la sección II, Capítulo V, Título X del libro I de las normas generales para las instituciones del sistema financiero.
En el mes de abril de 2015, se realizó un cambio de versión de SQL Server 2012 a Server 2014, lo que provocó que no se disponga durante 19 días LOGS de lo realizado a nivel de Base de datos en accesos, consultas, y afectaciones directas.
Continuidad del Negocio
Banco Solidario S.A., cuenta con un Plan de Continuidad del Negocio de la Institución, el cual ha sido aprobado y difundido a las instancias respectivas. El plan de continuidad se enfoca en aquellos procesos críticos y muy particularmente en aquellos relacionados con la atención a clientes. Este Plan es permanentemente puesto a prueba y validado por los responsables de las oficinas a nivel nacional, lo que ayuda a garantizar la efectividad en su ejecución. Cabe mencionar, que la institución hará la evaluación al final del año 2015 respecto al nuevo Plan construido en base al estándar ISO 22301. En el informe integral de riesgos publicado con corte a marzo de 2015, se detallaron los siguientes aspectos relevantes a la continuidad del negocio:
Análisis de las matrices de análisis de impacto (BIAs) vigentes a fin de evaluar los cambios sobre las mismas.
Se planificó efectuar una prueba a nivel nacional durante el mes de abril de 2015, incluyendo el pago de cuotas de crédito y estados TCF.
www.ratingspcr.com 39 de 42
No se ha realizado el comité de continuidad del negocio, no obstante la institución ha planificado elaborarlo alineado al estándar ISO 22301, dentro del plazo de implementación que contempla la normativa (hasta diciembre del año 2015). Cabe mencionar que los aspectos relevantes han sido informados en el Comité de Riesgos.
Fue aprobado el proceso, metodología y plan para la administración de la continuidad del negocio.