Marco Regulatorio de Gobierno y Control de TI en Entidades Financieras Paraguay

Manual de Gobierno y Control de Tecnologías de Información (MGCTI)

El MGCTI fue elaborado por la Superintendencia de Bancos con el objetivo de ofrecer un marco de referencia común para que las Entidades Financieras fiscalizadas por el Banco Central del Paraguay dispongan e implementen los requisitos mínimos de gobierno y control de las Tecnologías de Información y Comunicación (TICs).

El manual debe ser utilizado por las Entidades Financieras regidas por la Ley 861/06 para implementar el marco de gobierno y de control interno de Tecnología y Seguridad de la Información.

Fundamentos y Estándares de Referencia

El MGCTI se basa primariamente en el modelo de referencia COBIT 5 ® y se alinea técnicamente con otros estándares reconocidos:

• ISO/IEC 27001:2013.
• Information Technology Infrastructure Library (ITIL®).
• The Open Group Architecture Framework (TOGAF®).
• Project Management Body of Knowledge (PMBOK®).
• Projects IN Controlled Environments 2 (PRINCE2®).
• Modelo COSO (Committee of Sponsoring Organizations of the Treadway Commission).

Clasificación y Responsabilidades

La Superintendencia de Bancos clasifica a cada entidad con base en criterios definidos para establecer exigencias de control interno, siendo el Nivel 1 (N1) el de mayor control y el Nivel 3 (N3) el de menor.

Matriz RACI

Esta sección del manual define los responsables primarios o principales para gestionar procesos, prácticas y salidas. Los niveles mínimos de responsabilidad son:

• R (Responsable de hacer): Roles que realizan la actividad principal.
• A (Responsable de que se haga): Roles que aseguran que se cumpla la actividad principal.
• C (Consultado): Roles que proporcionan información o son consultados.
• I (Informado): Roles que son notificados de los resultados de la actividad principal.

B. La Familia de Normas ISO 27000

ISO 27000 es la norma internacional que proporciona una visión general completa y un vocabulario común para la gestión de la seguridad de la información en las organizaciones. Publicada por ISO/IEC, establece las bases fundamentales para comprender e implementar los Sistemas de Gestión de Seguridad de la Información (SGSI), ofreciendo definiciones precisas y conceptos esenciales. Aunque ISO 27000 no es certificable, su correcta comprensión es indispensable para aplicar efectivamente toda la familia de normas.

Vocabulario Clave en ISO 27000

• Control de Acceso: Conjunto de medios técnicos y procedimentales para garantizar que solo usuarios autorizados puedan acceder a los recursos de información.
• Incidente de Seguridad: Evento único o serie de eventos que compromete la seguridad de la información, poniendo en riesgo su confidencialidad, integridad o disponibilidad.
• Riesgo: Combinación de la probabilidad de ocurrencia de una amenaza y las consecuencias potenciales de dicho evento sobre los activos de información.
• SGSI (Sistema de Gestión de Seguridad de la Información): Conjunto estructurado de políticas, procesos y controles para proteger sistemáticamente la información organizacional.

ISO 27001 constituye la norma central y es la única norma certificable de la familia.

Otras Normas Clave de la Familia ISO 27000

La familia incluye diversas normas complementarias para la gestión integral de la seguridad:

1. ISO 27002: Proporciona una guía de buenas prácticas y un catálogo de controles de seguridad.
2. ISO 27003: Ofrece orientación práctica para la implementación efectiva del SGSI.
3. ISO 27004: Define métricas y métodos para evaluar el rendimiento y la eficacia del SGSI implementado.
4. ISO 27005: Proporciona directrices para la gestión de riesgos en seguridad de la información.
5. ISO 27007: Guía práctica para realizar auditorías internas y externas del SGSI.
6. ISO 27008: Evaluación técnica detallada de la efectividad de los controles implementados.