Los procedimientos de supervisión estarán destinados a determinar la implementación de controles que permitan a las entidades una adecuada gestión de los sistemas de información, la tecnología informática y sus recursos asociados.
Entre otros aspectos, se evaluarán:
• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, la existencia de una estrategia que les permita optimizar la efectividad en la administración, el control y la mejora continua en la gestión de los recursos de tecnología informática, procurando su alineación con los objetivos estratégicos y que exista una relación directa entre las necesidades del negocio, las soluciones y los servicios brindados.
• La definición de objetivos estratégicos compuestos por metas y cursos de acción necesarios para su cumplimiento, incluyendo objetivos a largo plazo, las inversiones y el presupuesto de tecnología informática, como así también la presentación de informes periódicos y controles de gestión.
• La existencia de una planificación formalizada bajo los mecanismos definidos por el Directorio o autoridad equivalente, que soporte los objetivos estratégicos, contenga un cronograma de proyectos y permita demostrar el grado de avance, la asignación de prioridades, los recursos y los sectores involucrados.
• La definición de mecanismos de revisión y análisis de la planificación, incluyendo procesos de identificación de riesgos que permitan evitar exposiciones u otras deficiencias que limiten o dificulten su implementación.
• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, la existencia de una arquitectura o modelo marco que provea dirección, principios, estándares y sanas prácticas, para mejorar el diseño y el mantenimiento de la infraestructura tecnológica presente y futura.
• En función al modelo elegido, la inclusión en la arquitectura de los siguientes aspectos:
- Procesos de negocios
- Equipamiento
- Software de base
- Herramientas
- Aplicaciones
- Canales
- Middleware
- Datos
- Medidas de seguridad
- Medidas de conectividad
- Terceras partes
• La alineación entre la arquitectura definida o proyectada, con la estrategia de tecnología informática, la estrategia de protección de activos de información y el modelo de gestión de datos establecido.
• La existencia de un presupuesto a fin de administrar las actividades financieras relacionadas con la tecnología informática, abarcando: la gestión de los costos, los beneficios y la priorización de los gastos mediante el uso de prácticas de presupuestación.
• Los mecanismos para la evaluación continua de las inversiones realizadas para el cumplimiento de los proyectos vinculados con la tecnología informática y su correspondencia con el presupuesto asignado, identificando y comunicando formal y oportunamente los desvíos en su ejecución.
• Los mecanismos para la medición de los beneficios no financieros resultantes de la inversión realizada en materia de tecnología informática en función de los planes estratégicos del negocio.
• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, el establecimiento de un área de gestión de proyectos, a fin de lograr un adecuado desempeño y seguimiento de los mismos, considerando la interrelación entre el producto, su duración y el presupuesto asignado.
• La existencia de una política que permita llevar adelante la gestión y el control de los proyectos relacionados con: la adquisición y el desarrollo de sistemas, las migraciones, los cambios en la infraestructura tecnológica, el mantenimiento de aplicaciones, y la tercerización/descentralización de actividades y/o servicios, entre otros.
• La definición de un modelo de gestión que permita comprender las distintas etapas de cada proyecto considerando las diferentes metodologías existentes.
• El desarrollo de documentación en cada etapa del proyecto y su vinculación con las necesidades de negocio en función de sus objetivos estratégicos.
• La existencia de un cronograma de actividades que incluya: las tareas a desarrollar, la asignación de recursos, los tiempos, los hitos, las prioridades y el grado de avance, entre otros.
• Mecanismos para establecer adecuados medios de comunicación a lo largo de las distintas etapas del proyecto a fin de verificar su cumplimiento, identificando los desvíos.
• La existencia de un proceso de gestión de la demanda que permita obtener una planificación eficiente de los requerimientos del negocio, en función de los recursos, los proyectos y los presupuestos existentes.
• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, el establecimiento de un área de gestión de la demanda a fin de centralizar la atención de los requerimientos y para que efectúe la intermediación entre las áreas de tecnología informática y las áreas de negocio.
• La vinculación de la solución adoptada con la estrategia de tecnología Informática, la arquitectura empresarial y el modelo de gestión de datos.
• La existencia de un modelo para la gestión de datos que permita adoptar una visión amplia, para administrar la totalidad de los datos vinculados con los procesos de negocio y para soportar las necesidades de integración entre las distintas aplicaciones.
• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, el establecimiento de un área o sector encargada de la gestión de datos.
• La vinculación del modelo elegido con la estrategia de tecnología informática, la estrategia de protección de activos de información, la clasificación de los activos y la arquitectura empresarial definida.
• En función de las principales metas y objetivos de la gestión de datos, la inclusión de las siguientes acciones:
- Definir, aprobar y comunicar la estrategia de datos, las políticas, los estándares, la arquitectura y las métricas
- Realizar un seguimiento y hacer cumplir la conformidad con las políticas de datos, los estándares y la arquitectura
- Patrocinar, controlar y supervisar la ejecución de los proyectos y servicios de gestión de datos
- Gestionar y resolver las cuestiones relacionadas con los datos
- Entender y promover el valor de los activos de datos
• En función de las normas vigentes sobre “Lineamientos para la Gestión de Riesgos en las Entidades Financieras” y “Agregación de Datos sobre Riesgos y Elaboración de Informes”, el establecimiento de un programa de gestión de riesgos que permita identificar, analizar y tratar las vulnerabilidades y amenazas existentes para todos los recursos de tecnología informática utilizados.
• La existencia de una metodología integrada al modelo de gestión de riesgo operacional formalmente establecido.
• La ejecución de análisis de riesgos sobre los sistemas de información, la tecnología informática y sus recursos asociados, incluyendo aquellos que han sido transferidos a terceras partes.
• La realización de evaluaciones de riesgos previas a la implementación de nuevas tecnologías o para el desarrollo de nuevos productos.
• La implementación de mecanismos que permitan comunicar al Directorio o autoridad equivalente en forma oportuna, los resultados alcanzados sobre los riesgos detectados y los márgenes aceptables de los riesgos residuales resultantes.
• En función de los riesgos detectados, la existencia de un plan para su remediación y su seguimiento, que permita reducir la exposición al riesgo de los activos de información a márgenes tolerables.
• La existencia de evaluaciones del impacto potencial de los acuerdos de descentralización y tercerización en relación con su riesgo operacional, previos al inicio de la relación y durante el transcurso de la misma. La identificación de escenarios factibles de riesgo, incluidas las situaciones que desemboquen en riesgos operacionales considerando, entre otros, los siguientes:
- la concentración de actividades y/o servicios en un mismo ente prestador (que, a su vez, brinde actividades y/o servicios a “n” organizaciones);
- escenarios relacionados con actividades y/o servicios que hayan sido subcontratados; y
- las características y condiciones de prestación que determine un grado de dependencia significativo (“vendor lock-in risk”).
• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, el establecimiento de un área que incluya las funciones relacionadas con: arquitectura, aplicaciones, datos, tecnología, soporte técnico y soporte a las personas usuarias, operaciones, gestión de proyectos, gestión de terceras partes y omnicanalidad, entre otros.
• La existencia de capital humano de tecnología informática con capacidades y habilidades suficientes para responder a las necesidades operacionales actuales y futuras del área. La integración de la gestión del capital humano a fin de asegurar un desarrollo óptimo de las tareas y las actividades, mediante programas que incluyan: evaluaciones de desempeño, mecanismos de transferencia de conocimiento, rotación de tareas y funciones, entre otros.
• La gestión y cumplimiento, por parte de la persona responsable del área, de la estrategia de tecnología informática y la implementación y mantenimiento de las políticas, conforme a los lineamientos establecidos por el Directorio o autoridad equivalente.
• La existencia de documentación que describa detalladamente los roles y responsabilidades del capital humano que integra el área de tecnología informática y sus sectores asociados.
• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, la existencia de información que permita entender y documentar una adecuada segregación de funciones entre los roles, las responsabilidades y las jerarquías.
• Ante limitaciones en la estructura que no permitan la segregación de algunas funciones incompatibles entre sí, la existencia de mecanismos de excepción mediante la realización de análisis de riesgos correctamente justificados, documentados y aprobados por parte del Directorio o autoridad equivalente.
• La existencia de políticas, normas y procedimientos que permitan gestionar, controlar y documentar las actividades y todos los procesos de tecnología informática. El nivel de detalle dependerá de la complejidad del entorno y de las necesidades requeridas por el negocio.
• El establecimiento de una “norma cero” o “norma base”, la cual definirá los lineamientos y los estándares para estructurar el armado de los documentos y lograr uniformidad y homogeneidad en el desarrollo de estos.
• La implementación de mecanismos para su publicación, comunicación formal, actualización periódica y asignación de responsabilidades, que constituya la base para la coordinación y la realización de las tareas y que permita capacitar sobre las actividades vinculadas a la tecnología informática y relacionadas en forma directa o indirecta con los procesos de negocio.
• La existencia de un marco de control sobre las actividades desarrolladas por los sectores que integran el área de tecnología informática, mediante la implementación de mecanismos que permitan realizar un seguimiento continuo de las tareas desarrolladas, incluyendo herramientas y métricas para medir el nivel de cumplimiento acorde con las necesidades.
• La realización de informes o reportes de control que permita medir el desempeño continuo de los recursos de tecnología informática y que contribuyan al cumplimiento de los objetivos del negocio.
• Los mecanismos que permitan poner en conocimiento de las instancias superiores, los resultados de la gestión del área.
• La existencia de mecanismos para gestionar eficientemente la descentralización y la tercerización de actividades, con el objetivo de cumplir con lo definido en la estrategia de tecnología informática, la arquitectura empresarial y la estrategia de protección de activos de información, considerando la búsqueda y la selección de prestadores, la gestión de relaciones, la vinculación contractual y la revisión y supervisión del rendimiento de las terceras partes.
• El establecimiento de una política que permita constituir un ciclo de vida que contemple la implementación de instancias aplicadas de manera integral y constante, con el objetivo de planificar, seleccionar, acordar, supervisar y finalizar la relación con las terceras partes.
• De acuerdo con las operaciones, los procesos y la estructura organizacional de la entidad, el establecimiento de un sector o una función encargada de la gestión de las terceras partes que concentre las actividades relacionadas con el establecimiento del entorno único de control y de los puntos de acceso unificados, según corresponda.
• Previo al inicio de la relación, la evaluación de la criticidad de las actividades a descentralizar y/o tercerizar, considerando los instrumentos establecidos en la normativa vigente, como, por ejemplo: el análisis de impacto y clasificación de activos, entre otros.
• La implementación de un inventario de servicios contratados y/o actividades delegadas, que incluya una categorización de los prestadores y su criticidad, que identifique el entorno de control relativo a la administración y la operación de la tecnología informática y los sistemas de información. En el caso en que la descentralización/tercerización de actividades se efectúe en una o más locaciones, la identificación del esquema de control correspondiente a cada actividad delegada.
• La inclusión, dentro de las cartas oferta, contratos y/o acuerdos de nivel de servicio, de cláusulas que permitan establecer que el prestador primario tenga total responsabilidad por todos los servicios que este último y los subcontratados prestan, incluidas las actividades proporcionadas desde un país diferente de la ubicación registrada.
• La extensión al subcontratado del cumplimiento de todas las leyes, requisitos regulatorios y obligaciones contractuales aplicables, y el otorgamiento a la entidad y autoridad supervisora competente de los mismos derechos contractuales de acceso y auditoría que los concedidos por el prestador primario, en especial cuando los servicios subcontratados conlleven un nivel elevado de criticidad y complejidad técnica.
• La implementación de una estrategia de finalización formal para la descentralización y/o tercerización de los procesos críticos, que posibilite la desvinculación de los acuerdos de prestación de servicios, sin que ello genere interrupciones en el desarrollo de las actividades, limite el cumplimiento de los requisitos regulatorios, ni comprometa la continuidad y la calidad de los servicios prestados. Esta estrategia estará conformada con la elaboración de escenarios para enfrentar salidas forzadas (por ejemplo después de una falla o insolvencia de quien preste los servicios) y salidas planificadas/administradas motivadas por razones comerciales, de rendimiento o estratégicas (salida sin estrés).
• La ejecución de auditorías periódicas por parte de la entidad sobre quienes presten los servicios informáticos tercerizados o descentralizados, que permita evaluar la gestión integral de éstos por parte de dichos proveedores, manteniendo informado al Directorio o autoridad equivalente sobre las conclusiones de las mismas.
Arquitectura empresarial: es el diseño general y el plan de alto nivel que describe el marco operativo de una institución e incluye su misión, las partes interesadas, las empresas, los clientes, el flujo de trabajo y los procesos, el procesamiento de datos, el acceso, la seguridad y la disponibilidad, entre otros. Un programa de arquitectura empresarial facilita el diseño conceptual y el mantenimiento de la infraestructura de la red, los controles de tecnología informática relacionados y las políticas. Asimismo, puede ayudar a una institución a desarrollar mejor los procesos o servicios tecnológicos e identificar, medir y mitigar los riesgos y las amenazas relacionados con la utilización de la tecnología. La implementación del programa se centra en capacitar a los líderes o lideresas del negocio y de tecnología informática para tomar decisiones de inversión, que provean balance y prioridad a las demandas operativas actuales, interrupciones, y oportunidades, ajustada a la visión estratégica a largo plazo de la entidad.
Gestión de datos: es la especificación de derechos de decisión y un marco de rendición de cuentas para fomentar un comportamiento deseable en la valoración, creación, almacenamiento, uso, archivo y eliminación de los datos e información. Incluye los procesos, funciones, normas y parámetros que garanticen el uso efectivo y eficiente de los datos y la información para permitir a la organización lograr sus objetivos.
Gestión de la demanda: es un modelo o proceso que permite responder a las necesidades de negocio, generando un diálogo entre dichas áreas y la de tecnología informática. Dicho modelo se basa en el principio de que no toda la demanda será aprobada, debido al efecto de las prioridades del negocio y de las limitaciones de los recursos de sistemas.
Subcontratación: es la situación en la que quien provee el servicio bajo un acuerdo de contratación transfiere una función, un servicio o una actividad a otro prestador. La sucesión de acuerdos de contratación relacionados con una función, un servicio o una actividad específica se denomina cadena de subcontratación.
Tercera parte: se considera dentro de esta definición a una entidad perteneciente a un grupo corporativo (global o doméstico) o una entidad externa al grupo corporativo, con la cual se ha establecido una carta oferta, un contrato y/o un acuerdo de nivel de servicio para realizar actividades, funciones o servicios de manera continua, las cuáles serían deberían ser realizadas por la entidad regulada sin la existencia de dichas relaciones.
Junio, 2020. Versión inicial