Marco regulatorio de Seguridad de la Información
El marco regulatorio interno del Banco Central tienen políticas de alto nivel aprobadas por la Junta Directiva, que establecen los compromisos de cumplimiento institucionales, se derivan de ellas las políticas específicas que establecen el marco de acción y la gobernanza que se implementan para el cumplimiento de las políticas de alto nivel para los temas relacionados.
Estas políticas se acompañan de los procesos definidos y aprobados en nuestro sistema de calidad.
Política de alto nivel
• Política de alto nivel seguridad de la información (vigente desde el 4 de febrero de 2025)
La Política de Seguridad de la Información se desarrolla basándose en la familia de normas ISO/IEC 27000.
Se entiende por seguridad de la información “la conservación de la confidencialidad, integridad y disponibilidad de la información; incorporando otras propiedades de igual importancia como son la autenticidad, la responsabilidad, el no repudio, e inclusive la certeza”.
Por ello es necesario establecer un adecuado marco de gestión para todas las fases del ciclo de vida de la información, a saber, generación, selección, conservación, divulgación y uso. La información y los procesos que la soportan, los sistemas de información y la red de telecomunicaciones utilizada por el Banco Central de Costa Rica (BCCR), constituyen activos de información de gran valor para la organización. Estos activos deben ser utilizados en todos los procesos dentro de un adecuado entorno de seguridad, cualquiera sea el medio que los soporte y el ambiente tecnológico en que se procesen.
La presente política apoya el cumplimiento de los requisitos legislativos, regulatorios y contractuales del BCCR, brindando seguridad jurídica. Asimismo, el BCCR se compromete con el Sistema Específico de Valoración de Riesgo Institucional (SEVRI) y con la mejora continua de la seguridad de la información.
Enunciado: Garantizar la protección de los activos de información del Banco Central de Costa Rica, de uso no autorizado, modificación, daños o destrucción accidental o intencional.
Productos Básicos:
1. Inventario de activos de información. Creación del inventario de activos de información de la institución con su respectiva clasificación según los niveles de confidencialidad, disponibilidad e integridad.
2. Objetivos de seguridad de la información. Establecimiento de objetivos de seguridad de la información coherentes con esta política, que permitan la protección de los activos de información.
3. Definición de políticas específicas relacionadas con la seguridad de la información. Establecimiento de las políticas de menor nivel que permitan orientar los esfuerzos para la protección de los activos de información, así como el establecimiento de los controles apropiados para su seguridad.
4. Declaración de aplicabilidad de los controles. Establecimiento de los controles pertinentes según el resultado del proceso de tratamiento del riesgo de seguridad de la información.
5. Sistema para establecer, operar, evaluar y mejorar la seguridad de la información. El sistema para establecer, operar, evaluar y mejorar se compone de diversos mecanismos con el fin de demostrar la conformidad del Sistema de Gestión de la Seguridad de la Información, mantenerlo actualizado al contexto de la organización y mejorar continuamente su eficacia.
• Política de alto nivel de la continuidad del negocio (vigente desde el 11 de noviembre de 2009)
La política de continuidad del negocio se fundamenta en la norma ISO/IEC 27001:2005 “Tecnologías de Información – Técnicas de Seguridad – Sistema de administración de seguridad de la información" de la ISO y con la norma BSI25999 – “Business Continuity Management-BCM" del British Standard Institute.
Se entiende la continuidad de negocio como la capacitad estratégica y táctica de la organización para planificar y responder a incidentes e interrupciones de negocio de modo que se logre la operación continua del mismo de acuerdo a un nivel aceptable establecido previamente.
Adicionalmente, la Administración de la Continuidad del Negocio es un proceso de administración holístico que identifica amenazas potenciales para la organización y el impacto que se podría causar a la misma, si dichas amenazas se materializan. Además, provee un marco de trabajo para que la organización pueda mejorar su habilidad para recuperarse de interrupciones con la capacidad para alcanzar sus objetivos clave y de modo que pueda brindar una respuesta efectiva para salvaguardar los intereses de sus involucrados clave, su reputación, marca y actividades de valor agregado.
Enunciado: Garantizar que se toman medidas para establecer un Modelo de Administración de la Continuidad de Negocio adecuado a las características, necesidades y servicios que brinda del Banco Central de Costa Rica.
Productos Básicos:
1. Identificación de los procesos críticos de la institución. Establecer los mecanismos necesarios para lograr identificar los procesos críticos de la institución que deben ser sujetos del proceso de continuidad del negocio.
2. Definición del manual de políticas de continuidad del negocio. Establecimiento de las políticas de menor nivel que permitan orientar los esfuerzos para la garantizar la continuidad de los procesos críticos de la institución y mejorar su “Resiliencia”, entendida esta como la mejora proactiva de la capacidad de la organización para recuperarse de interrupciones en áreas que resultan vitales para el logro de sus objetivos clave.
3. Establecimiento de los planes relacionados. Establecimiento de los planes que componen el Plan de Continuidad Institucional, dentro de las cuales se encuentran:
• Planes de recuperación.
• Planes Alternos de Trabajo.
• Plan de pruebas integrales que permiten medir la respuesta ante diferentes eventos que puedan afectar a los diferentes procesos críticos definidos en la organización.
4. Establecimiento de un sistema para la medición, el análisis y la mejora. El sistema para la medición, el análisis y la mejora se compone de diversos mecanismos con el fin de demostrar la conformidad del Sistema de Gestión de la Continuidad de Negocio y mejorar continuamente su eficacia.
Documentos relacionados
