informe anual sobre la gestiÓn de riesgo operativo · 2019. 3. 8. · de acuerdo al plan y como es...

1

2018

2

.................................................................................................. 3

....................................................................................................................... 3

........................................................................................................................ 3

.................................................................................... 4

............................................................................. 4

..................................................................................................... 5

...................................... 5

........................................................................... 6

................................................................................... 6

.............. 6

................................................................................................................... 7

........................... 7

........................................................................................ 7

.................................. 8

............................................ 8

................. 8

................................................................................... 9

.......................................................................................... 9

............................................................................................................. 9

............................ 9

...... 10

........................................................................ 10

............................................. 10

............. 10

.................................................... 11

........................ 13

3

Con el propósito de cumplir con lo establecido en el artículo No. 25 de la Circular CNBS No. 195-2011/Resolución SB No.1321/02-08-2011, presentamos a continuación un informe que resume los principales aspectos y resultados de la gestión del riesgo operativo para Banco de Honduras, S.A. durante el periodo del 2018.

Este informe es aplicable a todas las unidades de negocios de Banco de Honduras, S.A. y abarca el período comprendido entre Enero a Diciembre del 2018.

4

La gestión de riesgo operativo y su estructura de gobierno se efectúa de una manera consistente a través de Citi. Esta consiste en tres niveles de defensa en los que se distribuyen diferentes responsabilidades asociadas a los recursos primariamente a nivel local y con soporte regional y corporativo. Las tres líneas de defensa se definen como sigue:

La estructura organizativa del banco incorpora una unidad de riesgos la cual es un área independiente de riesgo y tiene dentro de sus funciones la gestión del riesgo operativo. Asiste al negocio, operaciones y tecnología y otros grupos de control independiente en mejorar la efectividad de los controles y gestionar el riesgo operativo a lo largo de productos y líneas de negocio, siempre en conformidad con los requerimientos regulatorios locales e institucionales.

Banco de Honduras tiene como objetivo promover la mejora continua en el diseño y aplicación de la administración de riesgo operacional a través de la política de Riesgo Operativo, las herramientas gerenciales y el proceso de gobernabilidad. La política de riesgo operativo tiene como objetivo principal establecer un marco de gestión del riesgo operativo para identificar, controlar, evaluar, monitorear, medir y reportar los riesgos operacionales de manera consistente y uniforme a través de Citi.

5

La meta es mantener el riesgo operativo en niveles apropiados relativos a las características de negocio del banco, los mercados en los que opera su capital y liquidez, y el ambiente competitivo, económico y regulatorio.

La corporación ha definido un proceso robusto para la evaluación de los riesgos y controles, denominado MCA (Management Control Assessment por sus siglas en inglés). MCA es un proceso de autoevaluación y de monitoreo constante del ambiente de control, con tareas que se ejecutan de manera trimestral y anual. El resultado de estas autoevaluaciones genera una calificación del ambiente de control de cada área, dichos resultados son presentados en el Comité de Riesgos.

El MCA es una metodología para prevenir y detectar problemas de control operativos, identificar los riesgos operacionales, la definición y seguimiento adecuado de las medidas de tratamiento y mitigación de los riesgos evaluados, ejecutar medidas correctivas para resolver y mitigar el impacto potencial en los objetivos del negocio por riesgos que se materialicen en pérdidas operacionales. La alta gerencia de cada área del negocio y áreas funcionales a través de su gestor de riesgo en primera línea, son responsables de gestionar día a día los controles, riesgos operativos y de implementar un programa integral de monitoreo y evaluación del control interno. Banco de Honduras, S.A. cuenta con un modelo de calificación del ambiente de control interno del banco, que toma en cuenta elementos cuantitativos y cualitativos medibles, tomando en consideración todas las variables que pudiesen llegar a afectar el ambiente de control interno y de gestión del riesgo operativo. Esta herramienta de calificación, es sometida a revisiones y calibraciones periódicas, provee un acercamiento estándar en las calificaciones trimestrales que realiza el banco. Este modelo consta de 4 niveles:

Nota Calificación 94% - 100% Fuerte 82 – 93.99% Efectivo

60% - 81.99% Oportunidad de Mejoras 0% - 59.99% Inefectivo

1 MCA: Managers Control Assessment

6

La calificación total en la Gestión de Riesgo Operativo de Banco de Honduras durante el 2018 fue: 1er Trimestre: Necesita Mejora 2do Trimestre: Efectivo 3er Trimestre: Efectivo 4to Trimestre: Efectivo Las calificaciones anteriores obedecen a que el banco presentó resultados satisfactorios durante el año 2018, con un saldo de pérdidas operativas al cierre del 2018 de US$31M, sin sanciones regulatorias. Por otro lado los planes de acción correctivos se ejecutaron sin mayores atrasos y dentro de los tiempos establecidos, sin cambios de fecha o reaperturas de parte de los temas levantados por Auditoria Interna. No se presentaron incidentes significativos de seguridad de la información. Se consideró también que el proceso de autoevaluación de riesgos y controles (MCA) continúa detectando deficiencias de control en la estructura de procesos actuales, esto se ve reflejado en los resultados de las 7 auditorías realizadas a las áreas durante el 2018 cuyos resultados fueron satisfactorios, no hay auditorias fallidas que reportar para el periodo en revisión.

Con base a estos se derivan indicadores de riesgos, los cuales se evalúan de acuerdo a límites establecidos según el riesgo identificado para cada indicador y el nivel de tolerancia acordado. Una vez que se rebasan estos límites se establecen planes de acciones correctivos que con el fin de mitigar o reducir el nivel de riesgo. El apetito de riesgo y los límites de tolerancia para el riesgo operativo están siendo revisados y serán incluidos en la próxima actualización del Manual de Gestión de Riesgo Operativo, el cual, se encuentra en proceso de revisión para ser completado en el segundo trimestre del 2019.

Cada dos meses el oficial de riesgo operativo presenta al Comité de Riesgos el análisis de las pérdidas operativas. Este análisis permite identificar tendencias en fallas o debilidades en los controles de manera global y dentro de cada área para identificar oportunidades de mejora para el fortalecimiento de los controles que mitiguen los eventos de pérdidas operativas. Durante el 2018 se registraron los siguientes eventos de pérdidas operativas, los errores que produjeron dichos eventos fueron identificados y remediados para evitar recurrencias.

Cuando las herramientas de monitoreo encuentran una falla o debilidad, es responsabilidad del área definir la causa raíz y los planes de acción para corregir dichas deficiencias.

7

Parte de las responsabilidades de riesgo operativo es apoyar al área a levantar procesos, controles y asesorar al tipo de herramienta de monitoreo adecuada. Durante el 2018, los planes de acción tanto de auditoria interna, como los del negocio fueron cumplidos en tiempo y forma, logrando de esta manera evitar recurrencias y extensiones de plazo de las mismas.

Semanalmente se da seguimiento a los planes de acción correctivos derivados a los hallazgos encontrados por cualquier autoridad, se reportan periódicamente al Comité de Riesgos. El área de riesgo y control del negocio monitorea cada actividad de los planes de acción correctivos y se asegura que cada tarea sea completada en tiempo y forma, con el fin de evitar cambios (o extensiones) de fecha o que auditoria interna considere la necesidad de re-abrir un hallazgo.

Como parte del proceso continuo de mejora al ambiente de control interno y para minimizar las exposiciones a riesgos, todas las áreas trabajan continuamente en robustecer sus procesos y controles de acuerdo a la regulación, leyes aplicables del sistema financiero y políticas corporativas de Citi. Las Pre-evaluaciones contienen las siguientes actividades: Revisión e identificación de las normas aplicables a Banco de Honduras. Análisis granular de las normas aplicables. Análisis de pérdidas operativas registradas a cargo del área. Identificación de los controles y procesos existentes, tanto críticos como no críticos, que cumplen

con la normativa y política corporativa. Reevaluar y medir los procesos, riesgos, controles y métodos de monitoreo. Creación de nuevos controles y métodos de monitoreo en los casos que aún no estaban

implementados. Actualización de procesos y controles existentes para readecuarlo al nuevo enfoque de negocio

banca corporativa. Las Pre-Evaluaciones se realizan periódicamente, alineado al calendario de auditorías internas, con el fin de anticipar riesgos, identificarlos, medirlos, evaluarlos, y monitorearlos de forma más eficaz y efectiva.

Al cierre de Diciembre 2018 se publicaron un total de 7 auditorías, todas con resultados satisfactorios.

8

El oficial de la Unidad de Gestión de Riesgo Operativo brinda su opinión sobre los posibles riesgos operativos vinculados a los nuevos productos o servicios. Para el periodo del 2018 no se reporta el lanzamiento de nuevos productos y/o servicios.

Durante el periodo 2018 se impartieron las siguientes capacitaciones al personal del banco sobre la gestión del riesgo operativo.

Tema del Entrenamiento Participantes Metodología Impartido por: Introduction to the

Governance, Risk and Compliance (GRC) &

Manager’s Control Assessment (MCA)

Framework (6 módulos)

Coodinadores de MCA (Manager’s control assessment – Evaluación de

Control Gerencial)

Virtual Sistema de Gestión de Aprendizaje Global

Introducción Riesgo Operacional

Todo el personal del banco Virtual Sistema de Gestión de Aprendizaje Global

Captura de Pérdidas Operativas

Gerente Riesgo Operacional – Riesgo y Control del Negocio - OTRC


Fraude Todo el personal del Banco Virtual Sistema de Gestión de Aprendizaje Global

Evaluación Anual de Riesgos Coordinadores de MCA Presencial Unidad de Riesgo Operacional Introducción al Sistema de Plan de Acción Correctivos

(ICAPS)

Coodinadores de MCA (Manager’s control assessment – Evaluación de

Control Gerencial)


Durante el primer trimestre del 2018 se realizó la revisión anual del Manual de Gestión de Riesgo

Operacional, con el fin de actualizar e implementar mejoras al proceso de gestión de riesgo operativo en línea a lo establecido en la regulación local y políticas corporativas de Citi. Algunos de los cambios significativos fueron: o Sección 1.4 – Revisiones: Que el manual entrará en vigencia una vez haya sido aprobado por la

Junta Directiva y se especificó la persona responsable de enviar el manual actualizado y aprobado al regulador y por qué medio.

o Sección 2.1 – Gestión del Riesgo Operacional: Detallar el responsable de desarrollar las campañas de concientización y conocimiento, de realizar el comité de riesgos y de enviar los recordatorios al personal sobre políticas corporativas etc.

o Sección 3.1.1 – Autoevaluación Trimestral: Detallar responsable de monitorear las actividades que realiza el negocio en el proceso de autoevaluación trimestral.

o Sección 3.1.2 – Medición de la Tolerancia al Riesgo: Detallar responsable de monitorear el proceso de medición de la tolerancia al riesgo y como es monitoreada.

o Sección 4.4 – Pruebas COB: Detallar el responsable de monitorear que las pruebas se realicen de acuerdo al plan y como es evidenciado dicho monitoreo.

o Sección 11 – Informes a presentar a la Junta Directiva: Se eliminó el informe anual de la gestión del riesgo operativo ya que la Unidad de Gestión Integral de Riesgos presenta a la Junta Directiva de manera bimestral, los resultados de la gestión del riesgo operacional del banco.

En Enero del 2018 fue presentado a la Comisión Nacional de Bancos y Seguros el Reporte Anual de la Gestión del Riesgo Operativo y se les remitió por medio de la Plataforma Interconexión Financiera el Reporte Anual de los eventos de pérdidas operacionales durante el año 2017.

9

La Unidad de Legal es un departamento de apoyo que tiene identificado dentro de su administración, ciertos riesgos, los cuales se encuentran mapeados en el Programa de Evaluación de Riesgos y Controles, “MCA” por sus siglas en inglés, que pueden surgir del trabajo realizado en el Departamento Legal en su día a día: Riesgo de una incorrecta contratación de Abogados. El Departamento Legal aprueba los bufetes de

Abogados con los cuales Banco de Honduras puede trabajar basado en su nivel de experiencia en cada materia del derecho, honorabilidad, y valores entre otras virtudes. Con esto, se asegura una correcta representación legal en cualquier caso, ya sea por una asesoría, en manejo de litigios o cualquier otro método de resolución de conflictos, entre otros.

Riesgo de incumplimiento con normativa local que puede nacer con la falta de conocimiento de las reformas a normas y la creación de nueva legislación que afecte a la institución.

Riesgo de incumplimiento en el buen funcionamiento del Gobierno Corporativo de la institución.

El Departamento Legal realiza las siguientes acciones para monitorear los riesgos legales identificados y poder identificar cualquier nuevo riesgo legal que surja:

• El Departamento Legal ha establecido procesos los cuales están mapeados en su Matriz de Riesgos y Controles para asegurar que estos riesgos sean controlados y no tengan ocurrencia o la misma sea mínima. Asimismo, se estableció un mecanismo de autoevaluación trimestral y anual dependiendo del caso, para asegurar el cumplimiento de los procesos, monitorear la administración de controles y asegurar una adecuada administración del riesgo que se pueda producir en la administración de un departamento Legal.

• Se asegura la participación del Gerente de Legal en los diferentes comités del Gobierno Corporativo de la Institución donde se discuten los temas relevantes sobre la administración de la institución y donde se revisan acciones ya ejecutadas, se toman decisiones de acciones por ejecutar y se identifican los riesgos inherentes que puedan surgir. Estos comités ejecutivos se reúnen con frecuencias establecidas en cada comité y dejan constancia de lo discutido en cada reunión para su correcto seguimiento.

• La unidad de Legal impartió varios entrenamientos de temas legales, a principios y a finales del 2018, dirigido a empleados del banco a fin de poder ampliar sus conocimientos y asegurar una correcta aplicación de la ley. Estuvieron presentes, personal del Banco que maneja documentación de clientes, personal de operaciones y áreas de apoyo que son las áreas que manejan la documentación legal de un cliente y procesan sus solicitudes.

Banco de Honduras, S.A., a través de su proceso de revisión de cambios regulatorios, realiza con los designados de área, una revisión de las normativas nuevas y reformas publicadas que apliquen al banco. De la revisión realizada por legal sobre lo publicado durante el período del 2018, no se identificó riesgo legal que haya causado una pérdida operativa relevante al banco. Lo anterior, sin perjuicio de las

10

pérdidas operativas reportadas por otras áreas al incumplimiento no intencional de las normas aplicables a sus funciones y procesos.

Al 31 de Diciembre del 2018, el banco no tiene demandas ni juicios pendientes a favor o en contra antes los Juzgados y Tribunales de Justicia del país.

Sobre las actividades de Continuidad del Negocio, estas son realizadas periódicamente de acuerdo a los planes establecidos. Estas pruebas son realizadas a lo largo del año, realizando diferentes tipos de pruebas y revisiones a manera de cubrir en un 100% la infraestructura tecnológica de Banco de Honduras, S.A., durante 12 meses.

A continuación un detalle de las diferentes pruebas realizadas para la gestión de este riesgo durante el periodo 2018, como también sus resultados.

Fecha Nombre de la Prueba Resultado Comentarios19/01/2018 Prueba Data Center Southwest - 1 aplicación probada 1 exitosa10/02/2018 Prueba Data Center Local - 3 aplicaciones probadas 2 exitosas y 1 fallida

Prueba Data Center Southwest - 2 aplicaciones probadas 1 exitosa y 1 fallida17/02/2018 Prueba Data Center Riverdale, 1 aplicación probada 1 exitosa10/03/2018 Prueba Data Center Delaware - 19 aplicaciones probadas 17 exitosas, 2 fallidas

Prueba de Volumen Basic Cosmos - 1 aplicación probada 1 exitosa17/03/2018 Prueba Data Center Southwest - 1 aplicación probada 1 exitosa07/04/2018 Prueba Data Center Queretaro - 1 aplicación probada 1 exitosa14/04/2018 Prueba Data Center Local - 1 aplicación probada 1 exitosa20/04/2018 Prueba Aplicación NetCapture EDC - 1 aplicación probada 1 exitosa21/04/2018 Prueba Data Center Londres - 2 aplicaciones probadas 2 exitosas15/05/2018 Centros de Datos estratégicos - 25 aplicaciones probadas todas las aplicaciones recuperadas satisfactoriamente

Pruebas de Volumen - 1 aplicaciones evaluadas todas las aplicaciones recuperadas satisfactoriamente

Pruebas individuales Todas las aplicaciones recuperadas satisfactoriamenteCollections and Payments HN falló en la prueba inicial, pero fue recuperada en la prueba siguiente.

06/08/2018 Prueba Data Center Jardines - 2 aplicaciones probadas 2 Exitosas11/08/2018 Prueba de Techroom Local, 8 aplicaciones y 5 EUCs probadas 7 aplicaciones y 5 EUCs exitosas, 1 aplicación fallida Retesteo programado en Octubre 2018

Prueba Data Center Greenwich, 4 aplicaciones probadas 4 exitosasPrueba de Volumen SAM, 1 aplicación probada 1 exitosa

08/09/2018 Prueba de Volumen Flexcube Latam V4 1 exitosa15/09/2018 Prueba Data Center Roanoke, 13 aplicaciones probadas 13 exitosas15/09/2018 Prueba de Volumen Citidocs - TTS Latam RPC 1 exitosa20/10/2018 Prueba de Volumen Citirisk Approvals 1 exitosa17/11/2018 Prueba Data Center Local, 2 aplicaciones y 16 EUCs probadas 2 aplicaciones y 16 EUCs exitosas

07/02/2018 Arbol de llamadas de todos los empleados, 61 personas contactadas fallida, solo se contactó al 33% de los empleados07/03/2018 Arbol de llamadas de todos los empleados, 60 personas contactadas exitosa, se contactó al 100% de los empleados21/03/2018 Arbol de llamadas de todos los empleados, 60 personas contactadas fallida, solo se contactó al 68% de los empleados Prueba reprograma para el 14 de Mayo 2018.14/05/2018 Arbol de llamadas de todos los empleados, 60 personas contactadas exitosa, se contactó al 98% de los empleados08/08/2018 Arbol de llamadas equipos de recuperación de negocio: 3 entidades 1 exitosa y 2 fallidas Re testeo 17/08/201808/08/2018 Arbol de llamadas de equipo de manejo de crisis: 1 entidad probada 1 exitosa 17/08/2018 Re testeo árbol de llamadas equipos de recuperación del negocio 2 entidades probadas, 2 fallidas Re testeo 23/08/201823/08/2018 Re testeo árbol de llamadas equipos de recuperación del negocio 2 entidades probadas, 2 exitosas06/10/2018 Arbol de llamadas todos los empleados 63% personal contactado, 37% no contactado10/10/2018 Arbol de llamadas todos los empleados 17% personal contactado, 83% no contactado13/11/2018 Arbol de llamadas todos los empleados 6% personal contactado, 94% no contactado

27/11/2018 Arbol de llamadas todos los empleados 84% personal contactado, 16% no contactado

Pruebas Denegación de Servicio (DOS)

Pruebas de Arbol de Llamadas

El equipo de O&T está trabajando en conjunto con el equipo regional de Continuidad del Negocio y los administradores de la nueva aplicación que se está usando (MIR3) a fin de poder resolver el inconveniente para contactar a los empleados que de momento se considera que es un problema con los operadores locales de telefonía.

11

La gestión de estas actividades asegura una efectiva continuidad del negocio en caso se presente algún evento externo o interno que podría interferir en la operatividad del banco. De las actividades ejecutadas, ninguna representa algún riesgo significativo para la institución. Los avances a estas actividades son monitoreadas en el Comité de Gestión Integral de Riesgos de manera bimensual.

Las siguientes actividades fueron definidas para una adecuada gestión del riesgo de seguridad de la información, las cuales están orientadas a garantizar la integridad, confidencialidad y disponibilidad de la información.

Eventos de

Riesgo

Identificados

Probabilidad de

que sucedan los

eventos de riesgo

identificados

Estrategia de Mitigación del Riesgo

Identificado (Programa de Seguridad

de la Información)

Monitoreo de los

riesgos

identificados

(Como y

Frecuencia)

Entrenamientos

Compromiso de información sensitiva de Citi generada por personal debido a desconocimiento de políticas y estándares de Seguridad de la Información.

Alta Entrenamiento nuevos ingresos Todo el personal de nuevo ingreso debe tomar en un período que no exceda de 60 días desde su fecha de ingreso, el entrenamiento Asegurando Nuestro Futuro, el cual proporciona una visión general de las políticas y estándares de Seguridad de la Información que el personal debe observar al manejar / acceder información de Citi.

Curso anual de actualización a todo el personal del banco

El personal completará un curso anual de actualización de Seguridad de la Información.

Bimestralmente: en el Comité de Gestión Integral de Riesgos

Asegurando nuestro

Futuro.

ISSSECFUTALL13

Iniciativa Global:

Curso de

Actualización de

Seguridad de la

Información 2018

para Empleados

(CGPGOAISR18E)

Acceso indebido a aplicaciones podría resultar en la exposición de información a personal no autorizado.

Alta Gestión de Identidad y Acceso Cada gerente / supervisor con personal a su cargo ejecuta revisiones de privilegios de acceso a sistemas de su personal para eliminar privilegios no requeridos por su función y para detectar conflictos de segregación de funciones.


No requerido

Compromiso de información por exposición o pérdida originado por ataques cibernéticos

Moderada Centro de Inteligencia Cibernética (C.I.C.) – Centro de Fusión de Seguridad Cibernética. El equipo Global de Seguridad de la Información cuenta con el programa “Centro de Inteligencia Cibernética el cual proactivamente analiza amenazas emergentes que pudieran suponer un riesgo para la información de Citi.


No requerido

Actores maliciosos externos podrían explotar vulnerabilidades en los sistemas de información del Banco.

Moderada Gestión de Amenazas de Vulnerabilidad / Evaluación de Vulnerabilidad de Aplicación (AVA) / Evaluación de Vulnerabilidad de Infraestructura (IVA).Grupos Globales están a cargo del monitoreo de nuevas vulnerabilidades las cuales son remediadas (parchadas) acorde al programa de Gestión de Amenazas de Vulnerabilidad. Así mismo, se cuenta con los programas AVA e IVA para el escaneo por vulnerabilidades en aplicaciones y componentes de infraestructura que


No requerido

12

soportan las aplicaciones.

Información sensitiva de Citi podría ser expuesta a personal no autorizado durante su transmisión o almacenamiento.

Moderada Datos en reposo / Monitoreo de correo electrónico / Seguridad del correo electrónico / Monitoreo de puntos de salida / Transferencias de archivos y datos / Administración de claves / Medios portátiles / Gestión de datos confidenciales / Lugar de trabajo seguro. El equipo Global de Seguridad de la Información cuenta con programas de monitoreo en los diversos puntos de salida de la red de Citi para determinar que el almacenamiento y transmisión de esta cuando sea requerido se ejecute acorde a los estándares de Seguridad de la Información: Herramientas electrónicas de monitoreo de emails, puertos USB, impresión, transferencia de archivos a sitios externos, etc. Así mismo, cuenta con el programa Lugar de Trabajo Seguro que consiste en inspecciones periódicas de los espacios de trabajo para determinar que la información física también está debidamente protegida.


No requerido

Deficiencias en la implementación de controles de seguridad en aplicaciones podrían permitir acceso no autorizado a información sensitiva.

Alta Evaluación de Riesgo de Seguridad de la Información (ISRA). El equipo de Tecnología ejecuta revisiones periódicas de las aplicaciones utilizadas por Citi para determinar que estas cumplen con controles para aplicaciones indicados en los estándares de Seguridad de la Información.


No requerido

Incidentes que involucren información sensitiva de Citi podrían no ser detectados o no resueltos oportunamente.

Alta Gestión de Incidentes de Seguridad de la Información (SIRT). Citi cuenta con el programa SIRT el cual define el manejo de los incidentes de Seguridad de la Información que podrían resultar en el compromiso de información sensitiva de Citi. El programa cubre desde el reporte de los incidentes, la contención de los mismos y su resolución, así como la implementación de actividades de remediación para prevenir futuros incidentes.


No requerido

Compromiso de información por parte de terceros o proveedores de servicio con los cuales Citi tiene una relación.

Alta

Evaluación de Seguridad de la Información de Terceros. Ejecución de revisiones periódicas de las normas, estándares y políticas de Seguridad de la Información de terceros a los cuales Citi les comparte información sensitiva debido a la naturaleza del servicio que estos le prestan a Citi.


No requerido

Violaciones de Seguridad de la Información incurridas por parte del personal por desconocimiento de las políticas y estándares de Seguridad de la Información

Moderado

Concientización de Seguridad de la Información. Envío mensual de boletines de Seguridad de la Información vía correo electrónico a todo el personal. Los boletines incluirán como mínimo los siguientes temas: Uso aceptable de activos, Etiquetado de información, Controles de red, Mensajes electrónicos, Controles contra malware, Política de escritorio y pantalla limpia.


No requerido

13

A continuación los resultados de las actividades desarrolladas durante el año 2018 para la gestión de este riesgo: Incidentes de Seguridad de la Información (Information Security Incident Management –

SIRTs) Los siguientes SIRTs fueron registrados durante el año 2018:

1) Severidad: 5 (Baja - Error - 2018-01-18-106506 Descripción: Un empleado de Banca Corporativa que forma parte del personal sub contratado de Banco de Honduras (NEMS – Non employee staffing), envió por error información de un cliente corporativo a otro. Ambos clientes ubicados en Honduras. La información enviada incluye detalles del estado de deuda del cliente. Estado: Investigación Cerrada.

2) Severidad: 5 (Baja) - Error - 2018-08-29-109391 Descripción: Empleado de CitiService Hub en Colombia envió por error información vía correo electrónico de un cliente corporativo de Honduras a otro. Estado del incidente: Cerrado el 21 de Noviembre del 2018 Resultado de la investigación: se determinó de que la causa raíz del incidente fue la falla en seguir los procesos/controles de negocio establecidos.

3) Severidad: 5 (Baja) - Error - 2018-10-16-109901 Descripción: En fecha 10 de septiembre de 2018 un empleado de ICG-TTS Honduras envió por error un memorando interno de aprobación a un cliente corporativo. El memorando incluía los límites de crédito aprobados para 31 bancos de la región de Centro América. Estado del incidente: Incidente Cerrado el 29 de octubre de 2018. Resultado Investigación: Se determinó que la causa raíz del incidente fue la falla en seguir los procesos / controles de negocio establecidos.

4) Severidad: 5 (Baja) - Error - 2018-10-16-109905 Descripción: En fecha 10 de septiembre de 2018 un empleado de ICG-CIB Honduras envió por error a un cliente corporativo los estados financieros de 2017 de otro cliente corporativo. Estado del incidente: Incidente Cerrado el 7 de noviembre de 2018. Resultado Investigación: Se determinó que la causa raíz del incidente fue la falla en seguir los procesos / controles de negocio establecidos.

5) Severidad: 5 (Baja) 2018-12-10-110487 Descripción: El Oficial de Seguridad de la Información Técnico (TISO) de la aplicación ACHI Honduras (CSI ID 169315), reportó que una interfaz web no cuenta con los controles requeridos de autenticación y autorización. Cualquier usuario con credenciales SSO tiene acceso total a toda la interfaz. La aplicación contiene información PII de 10 cuentas bancarias, incluyendo los números de cuenta y los nombres de los cuenta habientes. El equipo de Tecnología dio de baja la interfaz web afectada. Estado del Incidente: En Investigación Fecha Estimada Completitud de la Investigación: 9 de marzo de 2019.

6) Severidad: 5 (Baja) 2018-12-11-110497 Descripción: En fecha 15 de noviembre de 2018 un empleado de Latam Markets, de la oficina regional, envió por error a un proveedor una hoja de Excel que contenía estadísticas de ganancias de 101 clientes corporativos de Honduras y 211 de Costa Rica. El empleado pidió al proveedor que eliminara la información. Estado del Incidente: Incidente Cerrado Resultado de la Investigación: Se determinó que la causa raíz del incidente fue la falla en seguir los procesos / controles de negocio establecidos.

7) Severidad: 4 (Medio) 2018-12-21-110604 Descripción: Una caja que contiene reclamos de seguros pagados en 2013 fue extraviada por RANSA (Proveedor externo que da el servicio de almacenaje de archivos). Los reclamos incluyen detalles del asegurado y sus beneficiarios tales como copias de certificados de nacimiento, documentos de identificación, formularios de reclamos de seguros, etc.

14

Estado del Incidente: En Investigación Fecha Estimada Completitud de la Investigación: 20 de marzo de 2019 Nota: La fecha estimada de completitud de la investigación es el plazo máximo determinado en el proceso SIRT aprobado actualmente (90 días a partir de la apertura del SIRT). Sin embargo, se espera que la investigación sea completada lo antes posible.

Monitoreo del Contenido y de puntos de salida. No se reportan eventos para el período en revisión.

Alerta del Centro de Inteligencia Cibernética (Cyber Intelligence Center Alerts - CIC) No se reportan alertas para el período en revisión.

Entrenamiento a Nuevas Contrataciones o Un empleado del área de Servicios de Transacciones Globales (TTS) completó el entrenamiento

de Seguridad de la Información para nuevas contrataciones en fecha 6 de septiembre de 2018. o Cuatro recursos (un empleado y tres subcontratados) en alcance para completar el

entrenamiento de Seguridad de la Información para nuevas contrataciones: a. Un empleado de CTI completó el entrenamiento a tiempo b. Un recurso subcontratado de ICG-Ops (TTS) completó el entrenamiento a tiempo c. Dos recursos subcontratados de TTS completaron el entrenamiento 3 días past-due

Lugar de Trabajo Seguro

Las siguientes revisiones fueron realizadas durante el segundo semestre del 2018: o 3 de Abril del 2018*

Espacios revisados: 52 Violaciones de Seguridad de la Información identificados: 2 Porcentaje de Cumplimiento: 96.15%

o 2 de Agosto del 2018 Espacios revisados: 59 Violaciones de seguridad de la información identificadas: 2 Porcentaje de cumplimiento: 96.61%

o 27 de Septiembre del 2018 Espacios revisados: 41 Violaciones de seguridad de la información identificadas: 0 Porcentaje de cumplimiento: 100%

o 12 de Diciembre del 2018 Espacios revisados: 54 Violaciones de seguridad de la información identificadas: 2 Porcentaje de Cumplimiento: 96.3%

* Se observa una leve reducción en el personal fallado en comparación al trimestre anterior (Q4 2017: 8% de cumplimiento).

- Contador de segundas violaciones reiniciado a cero (iniciando un nuevo período de reporte). - Personal que falló la revisión completó un re-entrenamiento impartido por el BISO el 4/20/18.

Revisión de privilegios (entitlements)

1) 58 revisiones de privilegios con fecha de vencimiento para el período Enero a Abril de 2018: o 57 revisiones semestrales:

o 2 revisiones semestrales canceladas (personal salió del banco). o 48 revisiones semestrales completadas a tiempo. o 7 revisiones semestrales completadas past-due

- 6 revisiones bajo la responsabilidad de dos supervisores ubicados fuera de Honduras (CRS 5, y Finanzas 1)

- 1 revisión bajo la responsabilidad de un supervisor ubicado en Honduras (HR) o 1 revisión por transferencia completada a tiempo.

2) 23 revisiones de privilegios semestrales en el sistema EERS con fecha de vencimiento para el período Septiembre a Octubre de 2018:

15

o 22 revisiones semestrales completadas a tiempo. o 1 revisión semestral completada 9 días past-due (supervisor ubicado en Honduras,

departamento Legal).

3) 21 revisiones de privilegios en el sistema EERS con fecha de vencimiento para el período Noviembre a Diciembre de 2018. o 18 revisiones semestrales completadas a tiempo. o 1 revisión por evento (transferencia) completada a tiempo. o 2 revisiones semestrales completadas past-due (supervisor de CIB: 1 día past-due;

supervisor de TTS ubicado fuera de Honduras: 4 días past-due)

Evaluación de Riesgo de Seguridad de la Información (ISRA) Evaluaciones de Riesgo para aplicaciones ejecutadas en el período: o Nombre e id. de la aplicación: ITRC(Information Technology Risk Component) ID: 167115 -

Citidocs Honduras Approved on 01/17/18 | Calificación del Riesgo Inherente: ALTA

o Application Package - ID: 167115 - Citidocs Honduras Approved on 02/15/18 | No Issues Identified.

o ITRC (Information Technology Risk Component) ID: 147502 Cc_Ahiba - Interface to local clearing house Approved on 04/05/18 | Calificación del Riesgo Inherente – ALTA

o ITRC (Information Technology Risk Component) ID: 147488 - Divisas - Local regulatory reporting of FX Approved on 04/05/18 | Calificación del Riesgo Inherente: ALTA

o Nombre e Identidad de la aplicación: PayExpedite Client Honduras (169107) Evaluación Ejecutada: Evaluación de Riesgo Inherente (IS Risk) Calificación de Riesgo Inherente: ALTA Fecha Completada: 21-9-18 Nota: Evaluación “Cuestionario de Cumplimiento” en progreso. El equipo técnico reporta que depende de una respuesta del proveedor externo que creó el software. La fecha estimada de completitud es el 31 de Enero del 2019 (fecha objetivo original: 30 de Diciembre 2018) Estado: atrasado.

o Nombre e Identidad de la aplicación: Automatic Clearing House Intermediary Honduras (169315) Evaluación Ejecutada: Evaluación de Riesgo Inherente (IS Risk) Calificación de Riesgo Inherente: ALTA Fecha Completada: 19-10-18 Nota: Evaluación completada en fecha 10 de Enero del 2019. Resultado de la evaluación: Se identificó dos planes de acción correctivos en el sistema iCAPS bajo los números: 690938 y 690939. El id#690938 fue remediado a corto plazo y está en proceso de ser cancelado. El id#690939 está en proceso de ser documentado en el sistema iCAPs con un plan de acción correctivo a fin de remediar la causa raíz y evitar que presenten futuros casos.

o Nombre e Id de la aplicación: QUICKVIEW-HONDURAS (CSI ID: 167846) Evaluación Ejecutada: Evaluación de Riesgo Inherente (IS Risk) Calificación de Riesgo Inherente: ALTA Fecha Completada: 19 de diciembre de 2018 Nota: Evaluación “Cuestionario de Cumplimiento” en progreso.

De los incidentes de seguridad de la información presentados anteriormente, ninguno se consideró fuera significativo para el banco.

informe anual sobre la gestiÓn de riesgo operativo · 2019. 3. 8. · de acuerdo al plan y como es...

Documents