Acuerdo Ejecutivo — Normas para el Gobierno de Tecnologías de Información y Comunicación (TIC) en las Cooperativas de Ahorro y Crédito supervisadas
Resumen
Esta norma establece que las cooperativas de ahorro y crédito supervisadas deben organizar, administrar y controlar adecuadamente sus tecnologías de información (TIC) para reducir riesgos. Requiere que creen estructuras de gobierno de TIC, políticas de seguridad, planes de continuidad operativa y sistemas de auditoría según su tamaño. Las cooperativas tienen 3 años para cumplir estas disposiciones.
Considerandos
- 1.Que en fecha cinco de julio de dos mil veintidós, el Abogado Leopoldo Enrique Romero Banegas, actuando en su condición de Apoderado Legal del SINDICATO DE TRABAJADORES DE LA COMISION NACIONAL PRO-INSTALACIONES DEPORTIVAS (SITRACONAPID), presentó ante esta Secretaría de Estado, solicitud de aprobación de Reforma Parcial de los estatutos de la Organización Sindical que representa, con la documentación acompañada para tales efectos, de igual forma las Certificaciones de Actas Nos. 01-2022 ver folio cuatro (4) y del 11 de agosto de 2022 ver folio ocho (08) de elección de Nueva Junta Directiva periodo 2022-2024, así mismo cambio de la denominación de la Institución y del sindicato y reforma del Artículo 45, de la modificación de los estatutos emitida por el Presidente y Secretaria de Actas del SINDICATO DE TRABAJADORES DE LA COMISION NACIONAL PRO-INSTALACIONES DEPORTIVAS (SITRACONAPID).
- 2.Que las reformas introducidas a los Estatutos de fecha 28 de mayo de 2022 y 11 de agosto de 2022 están encaminadas a modificar sus Estatutos el que a su vez regulará: a) Cambio de la denominación de la Organización Sindical Artículo 1, y b) Periodo de sus funciones Artículo 45.
- 3.Que el quince de agosto de dos mil veintidós, la Dirección General del Trabajo, emitió dictamen respecto a la solicitud de mérito, concluyendo que el contenido de la reforma no contradice la Constitución de la República, las leyes, las buenas costumbres y el Código del Trabajo, por lo cual el dictamen emitido es favorable.
- 4.Que el principio de autonomía sindical, garantiza a todas las organizaciones de trabajadores y de empleadores el derecho a redactar sus estatutos y reglamentos administrativos, elegir libremente sus representantes, organizar su administración y actividades y formular su programa de acción.
- 5.Que de conformidad con el Código del Trabajo, toda modificación a los estatutos debe ser aprobada por la Asamblea General del Sindicato y remitida a la Secretaría de Trabajo y Seguridad Social y a la Dirección General de Trabajo, para su aprobación.
Articulos
Articulo 4
GOBIERNO DE TIC La Junta Directiva como máximo órgano de dirección de la Cooperativa es el responsable de la organización, administración y control de las TIC para lo cual debe gestionar adecuadamente el riesgo derivado de los sistemas de información, tomando en cuenta que su seguridad, continuidad, desarrollo y funcionamiento constituyen un elemento primordial en su operatividad, manejo administrativo y financiero. Las Cooperativas supervisadas deben establecer una estructura de gobierno de TIC, contemplando la implementación de políticas, procedimientos, planes operativos y plan estratégico institucional, con el fin de maximizar los beneficios y disminuir los costos de tecnologías basadas en una asunción de niveles de riesgo que sean aceptables, que le permita el uso óptimo de los recursos de las tecnologías de la información.
Articulo 5
RESPONSABILIDADES DEL G O B I E R N O C O O P E R A T I V O Es responsabilidad de la Junta Directiva y de la Gerencia General o el que haga sus veces de establecer la dirección a través de la priorización y la toma de decisiones; y midiendo el rendimiento y el cumplimiento respecto a la dirección y metas acordadas, asimismo, proteger la integridad de la Cooperativa ante los riesgos de TIC y dar cumplimiento a las normas, reglamentos internos y estándares internacionales en esta materia. En particular, la Junta Directiva debe aprobar políticas con base en riesgo, que deben ser aplicadas por la Gerencia General o el que haga sus veces.
Articulo 6
RESPONSABILIDADES DE LA JUNTA DIRECTIVA La Junta Directiva de la Cooperativa de Ahorro y Crédito, es el responsable de aprobar las políticas que permitan el cumplimiento de lo establecido en la presente Norma, y dar seguimiento a la efectividad y eficacia de los procesos relacionados con la prevención del riesgo de TIC. -- 31 of 80 -- Sin perjuicio de otras responsabilidades establecidas en las presentes normas, las responsabilidades de la Junta Directiva son, al menos, las siguientes: a) Tener conocimiento apropiado y actualizado del entorno en el cual opera la Cooperativa. b) Conocer y aprobar el marco de gestión de TIC a propuesta del Comité integrado para tal fin. c) Promover la toma de acciones correctivas y su seguimiento para la correcta implementación y consolidación del marco de gestión de TIC. d) Aprobar se asignen de manera específica e identificable los recursos humanos, financieros y tecnológicos necesarios y acordes con la naturaleza, tamaño y magnitud de las operaciones que realiza la cooperativa. e) Aprobar las políticas que deben ser aplicadas por la Gerencia General o el que haga sus veces en relación con el riesgo de TIC. f) Nombrar al Comité de TIC, requerir informes, al menos semestralmente, sobre la exposición al riesgo de TIC y sobre el seguimiento a la ejecución de las acciones correctivas definidas para subsanar las debilidades y oportunidades de mejora identificadas en los estudios de las auditorías interna ( ) (si hay) y externa de TIC( ), informes a la Superintendencia de Cooperativa de Ahorro y Crédito; en la evaluación del riesgo de TIC. g) Aprobar el reglamento para el funcionamiento del Comité de TIC. h) Recibir informes por la instancia designada sobre el desempeño del área de TIC, respecto a las políticas y procedimientos establecidos. i) Mantener en reserva la información que conozca en relación con el marco de gestión de TIC y sus riesgos asociados.
Articulo 7
INTEGRACIÓN DEL COMITÉ DE TIC La Junta Directiva de la Cooperativa debe establecer y nombrar en forma permanente un Comité de TIC que le brinde apoyo en la vigilancia de la gestión eficiente del riesgo de TIC. El cual quedará integrado por un número impar de miembros en base a su nivel de activos, así: a) Las Cooperativas (de primer o segundo grado) con activos netos que superen los Quinientos Millones de Lempiras (L500,000,000.00) deben nombrar el Comité de TIC, con mínimo cinco (5) miembros, conformado con empleados de las principales áreas de la Cooperativa, con conocimiento profesional en riesgos y administración de las tecnologías o con balance de habilidades, competencias y conocimientos, que de forma colectiva posean las aptitudes necesarias para atender sus responsabilidades el cual debe ser presidido por un miembro de la Junta Directiva, además lo integrará el Gerente General o el que haga sus veces y el jefe del área de TIC que actuará como Secretario del mismo. La Junta Directiva debe considerar la rotación periódica de los miembros no permanentes, -- 32 of 80 -- para promover nuevas perspectivas y tomar en cuenta las competencias y experiencia de futuros miembros. b) Las Cooperativas (de primer o segundo grado) con activos netos que superen los Cien Millones de Lempiras (L100,000,000.00) e igualen los Quinientos Millones de Lempiras (L500,000,000.00), deben nombrar un Comité de Tecnología conformado como mínimo por tres (3) miembros, un directivo, el Gerente General o quien haga sus veces y el encargado de TIC, que en forma conjunta y prudentemente analice, apruebe y gestione los recursos tecnológicos. c) Las Cooperativas (de primer o segundo grado) con activos netos superiores a un Millón de Dólares de los Estados Unidos de América (US$1,000,000.00) o su equivalente en moneda nacional y hasta Cien Millones de Lempiras (L100,000,000.00), no es obligatorio integrar un Comité de TIC, por lo que deberán tener al menos un funcionario responsable de TIC o un proveedor de servicios de TIC domiciliado en el territorio nacional, que brinde soporte tecnológico a la Cooperativa y canalice cualquier requerimiento a los proveedores de tecnología.
Articulo 8
RESPONSABILIDAD DEL COMITÉ DE TIC El Comité de TIC debe reportar directamente a la Junta Directiva sobre las medidas y mecanismos adoptados para la óptima administración de la tecnología y riesgos. El Comité de TIC debe contar con las políticas, procedimientos y/o procesos aprobados por la Junta Directiva en la que regule su funcionamiento, integración, rotación de sus miembros; el alcance de sus funciones; periodicidad de sus sesiones; los procedimientos de trabajo entre otros; así como las responsabilidades establecidas en estas normas o las brindadas por Junta Directiva, entre las responsabilidades de este Comité se determina, al menos, las siguientes: a) Velar por la implementación y aplicación de los procesos incluidos en el marco de gestión de TIC; b) Sostener reuniones con una frecuencia al menos cada tres (3) meses, cuyas deliberaciones y acuerdos deberán hacerse constar en actas; c) Participar como una instancia asesora y de coordinación en temas de tecnología y su gestión con el firme propósito de asegurar el Gobierno de TIC de la Cooperativa; d) Informar a la Junta Directiva los asuntos pertinentes a los aspectos críticos identificados durante sus funciones de evaluación, dirección y supervisión sobre la implementación y seguimiento al marco de gestión de TIC; e) Recomendar las prioridades para las inversiones en TIC; f) Prestar asesoramiento sobre cuestiones de actualidad y opinar sobre las prácticas y enfoques de control, revisar la viabilidad de los casos de negocio y de los planes de implementación que se deriven del Gobierno de TIC; y, g) Dar seguimiento a los informes y lineamientos emitidos por el Ente Supervisor, los auditores externos, órganos -- 33 of 80 -- de vigilancia y fiscalización interna; así como de otras instancias de control, para atender las observaciones y recomendaciones que formulen sobre la gestión de TIC.
Articulo 9
ACTAS DEL COMITÉ DE TIC La elaboración y difusión de las actas será llevada a cabo por el Secretario del Comité de TIC. El Acta deberá resumir las conclusiones y acuerdos que se hayan adoptado con respecto a los temas de agenda en cada reunión. El acta deberá ser firmada de conformidad, por todos los miembros que asistieron a la sesión una vez que haya quedado en firme. Asimismo, especificar: fecha y número de sesión.
Articulo 10
RESPONSABILIDADES DE LA GERENCIA GENERAL O EL QUE HAGA SUS VECES Además de las responsabilidades y obligaciones establecidas en la Ley, Reglamento, otras Normas y el Estatuto de la Cooperativa; bajo la supervisión de la Junta Directiva, la Gerencia General o el que haga sus veces es la responsable de implementar las actividades en torno a la gestión para prevenir los riesgos de TIC. Sin perjuicio de otras responsabilidades establecidas en las presentes normas, las responsabilidades de la Gerencia General o el que haga sus veces son, al menos, las siguientes: a) Actuar diligentemente para la puesta en funcionamiento de las disposiciones que en materia de las Tecnologías de la Información apruebe la Junta Directiva. b) Gestionar y velar porque se asignen los recursos humanos, financieros y tecnológicos aprobados por el Junta Directiva para el área de TIC. c) Supervisar el área de TIC de la Cooperativa para garantizar el cumplimiento de las políticas, procedimientos y controles en materia de TIC. d) Asignar las responsabilidades con respecto a la aplicación de las medidas preventivas del riesgo de TIC.
Articulo 11
ÓRGANOS DE VIGILANCIA Y FISCALIZACIÓN INTERNA Con el fin de apoyar la gestión del riesgo de TIC, se debe comprobar la efectividad, cumplimiento y resultados obtenidos en la implementación del marco de gestión y las políticas de TIC, para lo cual la Junta de Vigilancia y/o Auditoría Interna deben realizar al menos las siguientes labores: a) Verificar el cumplimiento del marco de gestión de TIC; así como las políticas y procedimientos aprobados por la Junta Directiva; b) Realizar el seguimiento permanente de la implementación de las observaciones, recomendaciones y correcciones formuladas por la misma Auditoría Interna. Ente Supervisor y Auditores Externos de TIC, como resultado de las evaluaciones al sistema de gestión de riesgo de TIC; c) Informar a la Junta Directiva de cualquier debilidad relevante que haya detectado como consecuencia de los análisis realizados y proponer soluciones alternativas; d) Incorporar dentro de sus planes anuales las actividades para la verificación de la efectividad y el cumplimiento -- 34 of 80 -- de las políticas y procedimientos para la prevención y detección del riesgo de TIC; e) Evaluación de la gestión del Comité y del área de TIC de la Cooperativa; f) Los elementos mínimos indicados en el Artículo 27 de las presentes normas; y, g) Actividades que la Junta de Vigilancia, auxiliares, considere importantes, así como los requeridos por la administración.
Articulo 12
UNIDAD DE TIC La unidad de TIC es la encargada de brindar el servicio de TIC a la Cooperativa y forma parte de la estructura organizacional, o bien, es un proveedor de servicios de TIC. Debe contar con una adecuada segregación de funciones, delegación de autoridad, definición de roles y asignación de responsabilidades; asegurándose que el recurso humano de TIC tenga las capacidades necesarias mediante programas de entrenamiento y capacitación; lo anterior soportado con un marco de trabajo estructurado en procesos, los cuales deben estar debidamente identificados y documentados. La unidad debe contar con independencia funcional y operativa de áreas usuarias de su gestión. Asimismo, debe estar a cargo de un funcionario especializado con formación académica y experiencia comprobada sobre la administración de TIC. Lo anterior se determinará en base al nivel de activos de las CAC´s, así: 1. Las Cooperativas con activos netos iguales o superiores a Cien Millones de Lempiras (L.100,000,000.00) deberán conformar una Unidad de Tecnología y reportar mensualmente al Comité de TIC y Gerencia General o el que haga sus veces. 2. Las Cooperativas que registren activos netos superiores a un Millón de dólares de los Estados Unidos de América (US$1,000,000.00) o su equivalente en moneda nacional y hasta Cien Millones de Lempiras (L.100,000,000.00), no estarán sujetas a la constitución de una Unidad de Tecnología, no obstante, estarán obligadas al nombramiento interno o tercerizado de personal que brinde servicios TIC y reporte mensualmente a Gerencia General o el que haga sus veces. CAPÍTULO III GESTIÓN DE RIESGOS DE TIC
Articulo 13
MARCO DE GESTIÓN DE TIC La Cooperativa supervisada debe diseñar, implementar, documentar, monitorear y actualizar un marco de gestión de TIC, el cual estará conformado por una serie de políticas, procesos y procedimientos relacionados con la adquisición, mantenimiento e implementación de los sistemas de información, bases de datos e infraestructura de TIC, garantizando que toda actividad o proceso interno de TIC esté debidamente documentado, con el objetivo de lograr un entorno operativo basado en riesgos de acuerdo con la complejidad de la Cooperativa. -- 35 of 80 -- El marco de TIC debe revisarse y actualizarse en un periodo no mayor a dos (2) años salvo de presentarse cambios significativos en el ambiente operacional de la Cooperativa. El marco de gestión de TIC debe normar al menos siguientes aspectos: a. Plan Estratégico Institucional incluyendo TIC; b. Infraestructura de tecnología; c. Cumplimiento de requerimientos legales y regulatorios; d. Administración de proyectos de sistemas; e. Administración de la calidad; f. Adquisición, instalación y mantenimiento de software y hardware; g. Administración de cambios; h. Administración de servicios con terceros; i. Administración, desempeño, capacidad y disponibilidad de la infraestructura tecnológica; j. Plan de Continuidad del negocio de la Cooperativa; k. Seguridad de los sistemas; l. Capacitación y entrenamiento de usuarios; m. Administración de los datos; n. Administración de instalaciones; y, o. Planes de sucesión del personal clave de TIC.
Articulo 14
EVALUACIÓN DEL RIESGO DE TIC La Cooperativa supervisada desarrollará, ejecutará y documentará un proceso de autoevaluación de la gestión de riesgos de TIC, en él cual se debe identificar, evaluar, y entender los riesgos inherentes de TIC. Este proceso de autoevaluación del riesgo de TIC estará a disposición de la Superintendencia de Cooperativas de Ahorro y Crédito y debe considerar aspectos tales como: a) Políticas, procedimientos y planes sobre planificación estratégica de TIC. b) Políticas, procedimientos y planes sobre seguridad, confidencialidad y privacidad de la información. c) Políticas y procedimientos en cuanto a la suficiencia y pertinencia de hardware y software necesario para cumplir adecuadamente con los objetivos de las Cooperativas. d) Políticas y procedimientos en cuanto a mantenimiento de la base de datos y la seguridad informática. e) Políticas y procedimientos de almacenamiento, que puede ser en centros de datos propios, tercerizados o en la nube. Puede ser compartido con otras Cooperativas siempre y cuando cumpla con los resguardos de confidencialidad de información y seguridad de los datos. f) Políticas y procedimientos en cuanto a los respaldos y recuperación de la información. g) Políticas y procedimientos en cuanto a los Sistemas Core de la Cooperativa; que puede ser propio, tercerizado o compartido. h) Políticas y procedimientos asociados con la relación con Proveedores de TIC. i) Políticas, procedimientos y planes asociados con la continuidad de las operaciones de TIC. j) Los elementos mínimos indicados en el Artículo 27 de las presentes normas. -- 36 of 80 --
Articulo 15
APLICACIÓN DE LA NORMATIVA TIC EN LAS CAC´s Las Cooperativas de Ahorro y Crédito deben contar y mantener tecnología de información acorde al tamaño, estructura, naturaleza y perfil de riesgo de sus operaciones, que garantice la captura, procesamiento, almacenamiento y transmisión de manera oportuna y confiable de la información para la toma de decisiones, incluyendo aquella que está bajo la modalidad de servicios provistos por terceros; para lo cual deben contar con un comité, unidad, o responsable de tecnología de información que garantice el normal funcionamiento de la misma, independiente de las áreas operativas y de negocio de la cooperativa. La Superintendencia de Cooperativas de Ahorro y Crédito solicitará a las CAC´s supervisadas que completen el cuestionario denominado: Autoevaluación de las Tecnologías de la Información, que al efecto se proporcionará y el cual se ejecutará la supervisión. Mismo que deberá ser remitido a la Superintendencia de Cooperativas de Ahorro y Crédito, a más tardar el 31 de marzo de cada año. Por lo anterior el cuestionario en referencia será remitido a las Cooperativas, una vez entrada en vigencia, la presente Norma.
Articulo 1
6 . - N U E V A S T E C N O L O G Í A S , PRODUCTOS Y SERVICIOS DIGITALES La Cooperativa, debe identificar y evaluar los riesgos de TIC que pudieran surgir con respecto al desarrollo de nuevos productos o servicios especialmente aquellos que se realizan por medio de canales digitales y el uso de tecnologías actuales o futuras con el fin de anticipar obsolescencia. CAPÍTULO IV TERCERIZACIÓN DE SERVICIOS DE TIC
Articulo 17
DEPENDENCIA EN TERCEROS Las CAC’s pueden contratar con terceros los servicios TIC, en función de su tamaño y complejidad, costo y beneficio, sin embargo, sigue siendo responsable por el buen funcionamiento de las TIC.
Articulo 18
RESPONSABILIDAD Las CAC´s son responsables ante el CONSUCOOP de las funciones o procesos que puedan ser objeto de una tercerización y deben verificar que se mantengan las disposiciones contempladas en la presente Norma. Asimismo, deben asegurarse de que el procesamiento y la información objeto de la tercerización se encuentre aislada lógicamente del resto de las operaciones del proveedor de servicios de TIC.
Articulo 19
DEBIDA DILIGENCIA SOBRE EL PROVEEDOR DE SERVICIOS DE TIC Las Cooperativas supervisadas deben ejecutar acciones de debida diligencia para seleccionar el proveedor (actual o futuro) de servicios de TIC, analizando al menos la viabilidad técnica, financiera y legal del proveedor, de modo que alguno de estos aspectos no afecte la prestación del servicio en el futuro. -- 37 of 80 --
Articulo 20
TERCERIZACIÓN SIGNIFICATIVA DE TIC Para efectos de la presente Norma se considera tercerización significativa, además de las identificadas por la propia Cooperativa, la auditoría de sistemas y del procesamiento de datos. En caso de que el objeto de tercerización sea un sistema de información, la CAC´s debe requerir al proveedor (actual o futuro) la entrega de la documentación técnica actualizada relacionada a la arquitectura de información del sistema, la cual debe contener como mínimo un diccionario de datos de las tablas del sistema y diagramas entidad - relación de la base de datos. La tercerización significativa de TIC debe ser hecha del conocimiento del CONSUCOOP, treinta (30) días calendario previo a la suscripción del contrato quien analizará, evaluará y formulará observaciones al contrato a suscribir.
Articulo 21
TERCERIZACIÓN SIGNIFICATIVA DE PROCESAMIENTO DE DATOS En caso de que las CAC´s opten por realizar una tercerización significativa de su procesamiento de datos en el territorio nacional, requerirán de la autorización previa y expresa del CONSUCOOP. En caso de que el procesamiento de datos sea realizado fuera del país, El CONSUCOOP emitirá la autorización específica al proveedor del servicio y el país desde que se recibe, así como a las condiciones generales autorizadas, por lo que, de existir modificaciones en ellas, se requiere de un nuevo procedimiento de autorización ante el CONSUCOOP. Los servicios objeto de contratación en el exterior deberán ser sometidos anualmente a un examen de auditoría independiente, realizada por una empresa auditora, de conformidad a las mejores prácticas internacionales, debiendo cada Cooperativa supervisada remitir al CONSUCOOP los respectivos informes, a más tardar veinte (20) días hábiles posteriores al cierre del primer trimestre de cada año. Las Cooperativas deben adjuntar a la solicitud de autorización referida en este artículo, la información requerida en el formato que será proporcionado por la Superintendencia de Cooperativas de Ahorro y Crédito. Una vez recibida la documentación completa, dentro de un plazo que no exceda de veinte (20) días hábiles, el CONSUCOOP emitirá la Resolución autorizando o denegando la solicitud presentada por la Cooperativa supervisada.
Articulo 22
COMPUTACIÓN EN LA NUBE Las bases de datos actualizadas, así como, las aplicaciones vigentes que procesan o dan acceso a estas bases, pueden mantenerse en servicios de computación en la nube, siempre y cuando se cumplan con los requisitos legales, de seguridad y de acceso del Ente Supervisor, de acuerdo con esta norma. La Superintendencia de Cooperativas de Ahorro y Crédito podría requerir un modelo de gestión de infraestructura tecnológica diferente al de los servicios de computación en la nube, en casos tales como: la Cooperativa no cumpla los requisitos legales y de seguridad, no se brinde acceso al supervisor; la información que la cooperativa desea mantener -- 38 of 80 -- sea sensible o crítica para la continuidad del negocio; la computación en la nube signifique un riesgo, o bien, cuando afecte los intereses de los afiliados de la Cooperativa.
Articulo 23
ACCESO A LAS BASES DE DATOS Las bases de datos actualizadas y las aplicaciones vigentes que procesan o dan acceso a estas bases deben estar accesibles al ente supervisor, sin ningún tipo de restricción o condición desde el territorio nacional, además se deberán habilitar credenciales de acceso irrestricto a todas las aplicaciones y objetos de sus sistemas, con derechos de lectura, en los ambientes de producción y desarrollo, al personal del CONSUCOOP debidamente acreditado para ejecutar las labores de supervisión, en cualquier momento que ésta lo requiera. Estos accesos también serán extensivos a los archivos maestros, transaccionales e históricos que el CONSUCOOP requiera.
Articulo 2
4 . - P R O C E S A M I E N T O D E INFORMACIÓN FUERA DE TERRITORIO Las Cooperativas supervisadas cuya plataforma de procesamiento de información se encuentre fuera del territorio nacional, o aquellas que en un determinado momento opten por ello, deben mantener en el país una réplica en línea del ambiente de procesamiento de los sistemas de información y de las bases de datos del ambiente de producción, así como copias de los respaldos de información del sistema principal. El personal acreditado del CONSUCOOP podrá acceder de forma irrestricta desde el territorio nacional, a la información y a los sistemas tanto en la plataforma de procesamiento de información en el exterior como en la réplica en territorio nacional en forma similar como lo indicado en el artículo anterior. Asimismo, las Cooperativas supervisadas deberán realizar al menos una vez al año, pruebas de funcionamiento de la réplica del ambiente de procesamiento de sus sistemas y sus bases de datos. Las cooperativas deberán asumir la responsabilidad del conocimiento pleno sobre la arquitectura de las bases de datos y la estructura de procesamiento, a través de personal radicado en territorio nacional, con la finalidad de atender diligentemente cualquier requerimiento de información que realice el CONSUCOOP, de conformidad con las disposiciones legales vigentes.
Articulo 25
OBLIGACIONES DE LA UNIDAD EXTERNA DE TIC Y/O PROVEEDOR DE TIC FRENTE A LOS SUPERVISORES DE CONSUCOOP. Las Cooperativas supervisadas son responsables de las funciones o procesos que puedan ser objeto de una tercerización. Consecuentemente, cuando la unidad de TIC no forme parte de una entidad supervisada o cuando existan proveedores de TIC, con el fin de mantener la continuidad del servicio, la Cooperativa debe establecer un contrato con dicha unidad y con cada uno de los proveedores críticos de TIC cláusulas que especifiquen que están obligados a suministrar a la Superintendencia de Cooperativas de Ahorro y Crédito -- 39 of 80 -- y al auditor externo de TIC toda la información que le sea requerida, así como, todas las facilidades requeridas en la supervisión de TIC, de acuerdo con la presente normativa, sin perjuicio de notificar previamente a la Cooperativa. Además, las Cooperativas supervisadas deben asegurar que el procesamiento y la información resultante de esa tercerización, se encuentre aislada lógicamente del resto de las operaciones del proveedor de servicios de TIC. CAPÍTULO V AUDITORÍA INTERNA DE SISTEMAS Y AUDITORÍA EXTERNA DE TIC
Articulo 26
AUDITORÍA INTERNA DE SISTEMAS La Cooperativa dentro de su estructura organizacional deberá crear la figura encargada de la gestión de las auditorías de sistemas, la cual debe integrar el área de auditoría interna y será el responsable de realizar las labores de fiscalización en la Cooperativa del Riesgo de TIC, para lo cual se deberá contar con un plan operativo para la vigilancia de las operaciones que procuren la consecución de los objetivos organizacionales. lo anterior se determinará en base a su nivel de activos, así: 1. Las Cooperativas con activos superiores a Quinientos Millones de Lempiras (L500,000,000.00) deberán de tener al menos un Auditor de Sistemas con grado universitario entre ellos Ingenieros en Sistemas, Licenciados en informática o carreras afines, a tiempo completo cuya función es la evaluación permanente de la gestión del riesgo de TIC, detallada en el artículo 11 antes mencionado, así como otras funciones de auditoría asignadas. 2. Las Cooperativas con activos que superen los Cien Millones de Lempiras (L100,000,000.00) o igualen los Quinientos Millones de Lempiras (L500,000,000.00), deberán tener un encargado de la gestión de las auditorías de sistemas, profesional a nivel técnico con conocimientos, capacitaciones y experiencia en el área de Auditoría de Sistemas o auxiliarse por medio de un contrato de tercerización de este servicio, para que durante el año lo realice, incluyendo firma de auditoría externa registrada en el CONSUCOOP. 3. Las Cooperativas que registren activos netos superiores a un Millón de dólares los Estados Unidos de América (US$ 1,000,000.00) o su equivalente en moneda nacional y hasta Cien Millones de Lempiras (L.100,000,000.00), podrán contratar un profesional con conocimiento en tecnología que anualmente realice la auditoría de sistemas, incluyendo los servicios de una firma de auditoría externa que contrate para dictaminar anualmente la Cooperativa. Para los numerales 2 ó 3, la Superintendencia de Cooperativas de Ahorro y Crédito evaluará de acuerdo al tamaño, estructura y complejidad de la Cooperativa, el requerir la contratación a tiempo completo del profesional que realice la Auditoría de Sistemas. -- 40 of 80 --
Articulo 27
AUDITORÍA BASADA EN RIESGOS La Cooperativa supervisada es responsable de desarrollar e implementar una estrategia de auditoría de TIC basada en riesgos, de conformidad con el manual interno de auditoría y estándares de TIC, para garantizar una correcta asignación de recursos en las revisiones a los aspectos que, de acuerdo a un análisis de riesgos, presentan una mayor exposición. La planificación anual de auditoría de sistemas debe incluir los riesgos potenciales en la administración de las TIC, incluyendo al menos los factores de riesgos siguientes: a. Los usuarios externos e internos del sistema de información. b. El ambiente del sistema, la operatividad del sistema y sus implicaciones sobre el negocio. c. Los niveles de acceso y la sensibilidad de la Información. d. La calidad de la información administrada por los sistemas de información, así como la calidad de la información remitida al CONSUCOOP. e. La tercerización. f. El ambiente de control de los procesos críticos definidos por la Cooperativa. g. Planes de contingencia y recuperación ante desastres. h. La efectividad del proceso de gestión de riesgo tecnológico implementado por la Cooperativa. La Cooperativa debe proveerle a la función de auditoría de sistemas las herramientas necesarias para la realización de las revisiones al ambiente de control relacionado a las TIC.
Articulo 28
AUDITORÍA EXTERNA DE TIC Los auditores externos de la Cooperativa deberán incluir en su evaluación periódica la revisión del cumplimiento de las disposiciones establecidas en las presentes normas, así como, las políticas, procedimientos, metodologías y herramientas internas, y las funciones para la Gestión de TIC que haya adoptado la Cooperativa. La auditoría externa de TIC debe cumplir con el ciclo de auditoría de TIC conforme a las Normas de Auditoría y evaluar la seguridad de los Sistemas de Información generalmente aceptadas y reconocidas por la Superintendencia de Cooperativas de Ahorro y Crédito. El auditor externo de TIC que lleve a cabo esta auditoría debe estar inscrito en el registro de auditores elegibles que al efecto lleva. El Registro de Auditores Externos del Consejo Nacional Supervisor de Cooperativas (CONSUCOOP). El contrato con el auditor externo de TIC debe incluir una cláusula que obligue a éste a entregar a la Superintendencia de Cooperativas de Ahorro y Crédito, copia de la información recopilada y procesada que sirva como respaldo de las labores de auditoría, así como los papeles de trabajo, en un plazo máximo de 30 días hábiles contados a partir de recibida la solicitud de entrega.
Articulo 29
ALCANCE Y PLAZO DE LA A U D I T O R Í A El alcance de la auditoría lo establece la firma de acuerdo con los estándares mínimos generalmente aceptados y de acuerdo -- 41 of 80 -- con el tamaño, estructura y complejidad de la Cooperativa supervisada, de acuerdo con el contrato suscrito entre las partes; por otro lado, el plazo de remisión de los productos entregables de la auditoría externa de TIC tanto al Ente Supervisado como a la Superintendencia de Cooperativas de Ahorro y Crédito.
Articulo 30
INFORME DE LA AUDITORÍA EXTERNA DE TIC El informe de auditoría externa de TIC deberá contener los elementos mínimos indicados en el artículo 11 de estas normas y el formato contenido del informe se detalla en el anexo No.2 de las presentes normas. CAPÍTULO VI GESTIÓN DE LA SEGURIDAD DE LA INFORMACIÓN
Articulo 31
GOBIERNO DE SEGURIDAD DE INFORMACIÓN El gobierno de seguridad de la información ejercido por la Junta Directiva, Comité de TIC, Gerente General o el que haga sus veces y las áreas operativas, financieras y administrativas de la Cooperativa, debe abarcar la estructura organizacional y los procesos requeridos con los siguientes objetivos: a. Proporcionar dirección estratégica; b. Asegurar que se logren los objetivos de negocio; c. Determinar que el riesgo se gestione adecuadamente; d. Garantizar que la información independientemente de su formato y contenedor cumpla con las tres (3) características principales de seguridad que son confidencialidad, integridad y disponibilidad.
Articulo 32
PLAN DE SEGURIDAD DE LA INFORMACIÓN La Cooperativa debe elaborar un Plan de Seguridad de la Información, en el que se definan las iniciativas de seguridad alineadas con las metas del negocio, sus planes y operaciones, para lo cual debe contar con la identificación de los objetivos a corto, mediano y largo plazo de las actividades y proyectos a ejecutar.
Articulo 33
ORGANIZACIÓN DEL ÁREA E N C A R G A D A D E L A S E G U R I D A D D E L A INFORMACIÓN La Cooperativa dentro de su estructura organizacional deberá crear la figura encargada de la Seguridad de la Información dependiente de la Gerencia General. La ubicación jerárquica del área debe garantizar independencia funcional y operativa del área de TIC, del resto de las áreas usuarias y de la función de auditoría. Asimismo, el área debe estar a cargo de un profesional especializado en tecnologías de información, quien debe gestionar el diseño, implementación, monitoreo y actualización del marco de seguridad de la información establecido por la Junta Directiva. Este profesional debe contar con formación académica y experiencia comprobada sobre la -- 42 of 80 -- administración de TIC. Lo anterior se determinará en base a su nivel de activos, así: 1. Las Cooperativas con activos superiores a Quinientos Millones de Lempiras (L5000,000,000.00) deberán de contratar un Administrador de Seguridad de la Información con grado universitario entre ellos Ingenieros en Sistemas, Licenciados en Informática o carreras afines, a tiempo completo cuya función es la evaluación permanente la gestión de la Seguridad de TIC. 2. Las Cooperativas con activos que superen los Cien Millones de Lempiras (L100,000,000.00) o igualen los Quinientos Millones de Lempiras (L500,000,000.00), deben de ser desempeñadas por un profesional a nivel técnico con conocimientos, capacitaciones y experiencia en el área de seguridad información tica o auxiliarse por medio de un contrato de tercerización de este servicio por lo menos una vez al año. 3. Las Cooperativas que registren activos netos superiores a un Millón de Dólares de los Estados Unidos de América (US$1,000,000.00) o su equivalente en moneda nacional y hasta cien millones de Lempiras (L100,000,000.00), podrán contratar un profesional especializado que anualmente realice una revisión de Seguridad de la Información. Para los numerales 2 y 3 la Superintendencia de Cooperativas de Ahorro y Crédito evaluará de acuerdo al tamaño, estructura y complejidad de la Cooperativa, el requerir la contratación a tiempo completo del profesional encargado de la Seguridad de la Información.
Articulo 34
FUNCIONES Y RESPONSABILIDADES DEL ÁREA ENCARGADA DE SEGURIDAD DE LA INFORMACIÓN El área encargada de la gestión de seguridad de la información tendrá al menos las siguientes funciones: a. Diseñar, implementar, documentar, monitorear y actualizar las políticas, normas y procedimientos según los estándares internacionales y las mejores prácticas en materia de seguridad de la información, aprobadas por la Junta Directiva; b. Velar por la seguridad de la información, en cualquiera de sus formatos o contenedores, realizando análisis de riesgo de los diferentes procesos de la Cooperativa, así como de los recursos tecnológicos y humanos que intervienen en los mismos; c. Identificar e implementar controles de seguridad que garanticen que la información y la infraestructura tecnológica de la Cooperativa no sean utilizadas en perjuicio de la misma Cooperativa, instituciones externas y los usuarios; d. Velar por la protección de los sistemas de información ante nuevas amenazas y vulnerabilidades existentes, garantizando la confidencialidad, integridad y -- 43 of 80 -- disponibilidad de la información, y la continuidad de las operaciones; e. Desarrollar actividades de concientización y entrena- miento en seguridad de la información; f. Desarrollar al menos una vez al año, evaluaciones de seguridad de la información a los procesos, tecnológicos y operativos, que soporta la Cooperativa. Los resultados de estas revisiones deberán ser de conocimiento del Comité de TIC y Gerencia General o el que haga sus veces; g. Coordinar y ejecutar la realización de análisis y de pruebas de intrusión y vulnerabilidad en el entorno tecnológico de la institución; h. Establecer los lineamientos y estándares para controlar el acceso a los sistemas de información y la modificación de privilegios o perfiles de los usuarios; i. Participar en el mantenimiento y actualización de los planes de contingencia, planes de continuidad del negocio y planes de recuperación de desastre para mantener el nivel de seguridad durante las actividades de recuperación; j. Monitorear y evaluar los incidentes de seguridad de la información y recomendar acciones apropiadas; y, k. Notificar al CONSUCOOP en caso de incidentes o problemas de seguridad de la información en la cooperativa supervisada, con previo conocimiento de la Junta Directiva de la Cooperativa.
Articulo 35
MARCO DE GESTIÓN DE SEGU- RIDAD DE LA INFORMACIÓN La Cooperativa supervisada debe diseñar, implementar, documentar, monitorear y actualizar un marco de gestión de seguridad de la Información, el cual incluir la definición de una política de seguridad de la información y la implementación de una metodología de gestión de riesgos de TIC. Además, deben considerarlos activos de información de la Cooperativa supervisada, sus grupos de interés, proveedores, operadores de telecomunicaciones, entes de supervisión y vigilancia y otras entidades vinculadas directa o indirectamente. Lo anterior, debe estar acorde con el perfil de riesgo de la Cooperativa.
Articulo 36
POLÍTICAS Y PROCEDIMIENTOS DE SEGURIDAD DE LA INFORMACIÓN La Cooperativa debe establecer y mantener políticas y procedimientos de seguridad de la información, cuyo contenido incluya al menos: 1) Política Institucional de Seguridad de la Información. 2) Políticas específicas sobre: a. Clasificación de la Información. b. Control de acceso a los activos de información. c. Uso seguro y adecuado de los activos de información. d. Manejo de contraseñas. e. Desarrollo de aplicaciones seguras. f. Seguridad física y ambiental. g. Respaldo y recuperación de información. h. Proceso antimalware. -- 44 of 80 -- i. Relación con proveedores o terceros. j. Gestión de incidentes. k. Prestación de productos y servicios electrónicos a sus clientes. l. Uso de dispositivos móviles. 3) Procedimientos de implementación de las políticas de seguridad específicas. 4) Evaluación de riesgos incluyendo factores no señalados en el artículo 14 de las presentes normas. 5) Manual de sanciones por incumplimiento.
Articulo 3
7 . - C O N T R O L E S M Í N I M O S A IMPLEMENTAR PARA LA SEGURIDAD DE LA INFORMACIÓN Como parte de la gestión de la seguridad de la información, las Cooperativas supervisadas basadas en un análisis de riesgos deben implementar controles para la seguridad de la información considerando al menos las áreas generales contenidas en el anexo No.1 de las presentes normas.
Articulo 38
EDUCACIÓN Y CONCIENTIZACIÓN EN TEMAS DE SEGURIDAD DE LA INFORMACIÓN Todos los Directivos y empleados de la Cooperativa supervisada y cuando sea relevante los usuarios de terceras partes, deben recibir un entrenamiento apropiado y actualizaciones periódicas sobre la importancia de la seguridad de la información y del cumplimiento del marco de gestión de seguridad de la información. Esto incluye requerimientos de seguridad, responsabilidades legales y controles del negocio, así como también entrenamiento en el uso correcto de los activos para el procesamiento de información.
Articulo 39
REVISIONES DE TERCEROS Las Cooperativas supervisadas deben realizar al menos una vez al año, o cuando ocurran cambios significativos en el ambiente operativo/tecnológico, evaluaciones de seguridad a la plataforma tecnológica y pruebas de intrusión, por entes externos. El alcance de estas evaluaciones debe definirse en base a un análisis de riesgos y considerando el perfil de riesgo de los procesos a revisar. CAPÍTULO VII GESTIÓN DE CONTINUIDAD DE LAS OPERACIONES DE TECNOLOGÍA
Articulo 40
GESTIÓN DE LA CONTINUIDAD DEL NEGOCIO Las Cooperativas supervisadas deben realizar una gestión de la continuidad de las operaciones de tecnología adecuada a su tamaño, estructura y la complejidad de sus operaciones y servicios.
Articulo 41
FASES DE LA CONTINUIDAD DE LAS OPERACIONES DE TECNOLOGÍA La Cooperativa supervisada debe desarrollar al menos las -- 45 of 80 -- siguientes fases como parte de la gestión de continuidad de las operaciones de tecnología: 1. Evaluación y análisis de riesgos. 2. Análisis de impacto del negocio. 3. Desarrollo de estrategias de recuperación. 4. Desarrollo de planes. 5. Pruebas y ejercicios. 6. Concientización y capacitación. 7. Mantenimiento y actualización. La ejecución de cada una de estas fases debe ser documentada y aprobada por la Junta Directiva de la Cooperativa supervisada.
Articulo 42
ESTRATÉGIAS DE CONTINUIDAD RESPECTO AL PROCESAMIENTO DE DATOS Las Cooperativas supervisadas deben implementar estrategias de continuidad respecto al procesamiento de datos en caso de contingencia, mediante la cual puedan dar continuidad a las operaciones y los procesos críticos de la Cooperativa. En caso de que las Cooperativas supervisadas opten por un centro de procesamiento de datos alterno ubicado fuera del territorio hondureño, las instituciones deberán permitir al CONSUCOOP el libre acceso a su infraestructura de TIC, sistemas de información y bases de datos y proporcionar a ésta la información que les requiera. Asimismo, deberán observar lo estipulado en el Capítulo IV de las presentes normas.
Articulo 43
PROCEDIMIENTOS DE RESPALDO Y RECUPERACIÓN Las Cooperativas supervisadas deben establecer en base a su análisis de riesgos, procedimientos de respaldo y recuperación que incluyan aspectos como: las rutinas de respaldo, duración, frecuencia, medios de controles de acceso, transporte, resguardo y destrucción. Estos procedimientos deben ser probados periódicamente para garantizar que se reasuma el procesamiento normal de la información en caso de una interrupción a corto plazo o si hay necesidad de procesar o de reiniciar un proceso. Las Cooperativas obligatoriamente deben realizar respaldos al cierre contable mensual y al cierre contable anual.
Articulo 44
MANEJO DE INCIDENCIAS DE CONTINUIDAD Las Cooperativas supervisadas deben establecer mecanismos y procedimientos formalmente documentados para la gestión, registro, accionar y comunicación de incidencias de continuidad en las operaciones de TIC. Estos mecanismos deben permitir la identificación, análisis, resolución y documentación de errores. Estos eventos deberán ser incluidos como incidentes de riesgos operacionales y reportados al CONSUCOOP.
Articulo 45
PÓLIZAS DE SEGUROS Las Cooperativas supervisadas deben contar con cobertura -- 46 of 80 -- de seguros para los principales equipos de su plataforma tecnológica para mitigar al menos los riesgos provocados por incendio y las líneas aliadas, las propias para proteger el equipo electrónico, no siendo excluyente de cualquier otra cobertura que la Cooperativa desee adicionar al seguro.
Articulo 46
CUSTODIA Y UBICACIÓN DE LOS PLANES DE CONTINUIDAD FUERA DE SITIO. La custodia del plan de continuidad de negocio debe estar a cargo del área respectiva, quien debe conservar una copia impresa y digital actualizada en una ubicación fuera de sitio, de modo que, en caso de cualquier interrupción o contingencia en las instalaciones donde se encuentre y se tenga acceso al mismo. CAPÍTULO VIII DISPOSICIONES FINALES
Articulo 47
PLAZO DE ADECUACIÓN Las CAC´s deberán de adecuarse a las disposiciones establecidas en estas normas a más tardar en tres (3) años a partir de su entrada en vigencia. El proceso de implementación de estas normas, no exime de responsabilidad a los miembros de Junta Directiva y Junta de Vigilancia en velar porque se administren los riesgos a que se expone la Cooperativa sobre el tema de TIC. Para garantizar la plena ejecución de estas disposiciones, las Cooperativas deberán planificar y remitir al Consejo Nacional Supervisor de Cooperativas (CONSUCOOP) dentro de los 90 días calendarios posteriores a la entrada en vigencia de estas normas, las actividades necesarias para lograr una implementación efectiva y controlada de lo establecido en las presentes normas, contemplando los siguientes aspectos: a) La constitución de un equipo de trabajo con representación de las unidades que correspondan. b) La designación de un responsable del proceso de implementación, quien asumirá la coordinación del equipo de trabajo y deberá contar con la autoridad necesaria, dentro de sus competencias, para ejecutar el referido plan. c) El estudio detallado de estas disposiciones, con el fin de identificar las que apliquen a los entes cooperativos de conformidad con su realidad tecnológica considerando estructura, tamaño, complejidad de sus operaciones, disponibilidad de recursos y con base en ello establecer las prioridades respecto de su implementación. d) Dicha planificación deberá considerar las actividades por realizar, los plazos establecidos para cada una, los respectivos responsables, así como cualquier otro requerimiento asociado (tales como infraestructura, personal y recursos técnicos) y quedar debidamente documentada. -- 47 of 80 --
Articulo 48
SANCIONES El incumplimiento de las disposiciones establecidas en las presentes normas será sancionado de conformidad con lo establecido en el marco legal vigente aplicable a las CAC´s y al Reglamento de Sanciones vigentes, emitido por el CONSUCOOP.
Articulo 49
DISPOSICIONES FINALES Y TRANSITORIAS Las consultas o aclaraciones relacionadas a la aplicación d e l a s p r e s e n t e s n o r m a s s e r á n a t e n d i d a s p o r l a Superintendencia de Cooperativas de Ahorro y Crédito, por lo que deben ser enviadas a la dirección de correo electrónico seguimiento@consucoop.hn, de la División de Cumplimiento y Seguimiento de la Superintendencia de Cooperativas Ahorro y Crédito. Asimismo, lo no previsto en las presentes normas será resuelto y verificado por dicha Superintendencia con base en la legislación general de la República, así como en las Normas y prácticas internacionales emitidas sobre la materia de TIC. 1. Comunicar el presente Acuerdo a las Cooperativas de Ahorro y Crédito, (CAC´s), Federación de Cooperativas de Ahorro y Crédito de Honduras Limitada (FACACH) y Federación Hondureña de Cooperativas de Ahorro y Crédito Limitada (FEHCACREL), para los efectos legales correspondientes. Comunicar el presente Acuerdo a la Superintendencia de Cooperativas de Ahorro y Crédito, para que en los procesos de supervisión In-Situ y Extra-Situ, verifique el cumplimiento de las disposiciones contenidas en las presentes normas. 2. El presente Acuerdo entrará en vigencia a partir de su publicación en el Diario Oficial La Gaceta y portal web del CONSUCOOP delegándose a la Secretaría General su comunicación. COMUNÍQUESE Y PUBLÍQUESE. JOSE FRANCISCO ORDOÑEZ PRESIDENTE JUNTA DIRECTIVA CONSUCOOP NORMA RODRIGUEZ SECRETARÍA JUNTA DIRECTIVA CONSUCOOP -- 48 of 80 -- ANEXO No. 1 CONTROLES MÍNIMOS A IMPLEMENTAR RESPECTO A LA SEGURIDAD DE LA INFORMACIÓN Como parte de la gestión de la seguridad de la información, las instituciones supervisadas deben implementar controles para la seguridad de la información a partir de un análisis de riesgo, considerando como mínimo, la implementación de los controles generales que se indican a continuación: Documento Contenido Mínimo 1. Seguridad lógica: • Procedimientos formales para la concesión, administración y revocación de derechos, perfiles y usuarios. • Revisiones periódicas sobre los derechos concedidos a los usuarios. • Los usuarios deben contar con una identificación para su uso personal, de tal manera que las posibles responsabilidades puedan ser seguidas e identificadas. • Controles especiales sobre utilidades del sistema y herramientas de auditoría. • Seguimiento sobre el acceso y uso de los sistemas para detectar actividades no autorizadas. • Controles para garantizar la permanente efectividad de medios de autenticación y contraseñas. • Protección de puertos y servicios de red. • Controles especiales sobre usuarios remotos y computación móvil. 2. Seguridad en los recursos humanos: • Definir adecuados roles y responsabilidades sobre la información y su procesamiento. • Establecer la firma de acuerdos de confidencialidad por los empleados y personal externo al que se brinde acceso a las instalaciones de procesamiento o sistemas de información. • Verificación de antecedentes, de conformidad con la legislación laboral vigente. • Concientización y entrenamiento constante al personal en materia de seguridad. • Procesos disciplinarios en caso de incumplimiento de las políticas de seguridad, de conformidad con la legislación laboral vigente. 3. Seguridad física y ambiental: • Controles para evitar el acceso físico no autorizado, daños o interferencias a las instalaciones y a la información de la Institución. • Controles para prevenir pérdidas, daños o robos de los activos, incluyendo la protección de los equipos frente a amenazas físicas y ambientales. -- 49 of 80 -- 4. Inventario de activos y clasificación de información: • Realizar y mantener un inventario de activos asociados a la tecnología de información y asignar responsabilidades respecto a la protección de estos activos. • Realizar una clasificación de la información, que debe indicar el nivel de riesgo existente para la institución, así como las medidas apropiadas de control que deben asociarse a las clasificaciones. 5. Administración de las operaciones y comunicaciones: • Procedimientos documentados para la operación de los sistemas. • Control sobre los cambios en el ambiente operativo, que incluye cambios en los sistemas de información, las instalaciones de procesamiento y los procedimientos. • Separación de funciones para reducir el riesgo de error o fraude. • Separación de los ambientes de desarrollo, pruebas y producción. • Monitoreo del servicio dado por terceras partes. • Administración de la capacidad de procesamiento. • Controles preventivos y de detección sobre el uso de software de procedencia dudosa, virus y otros similares. • Seguridad sobre las redes, medios de almacenamiento y documentación de sistemas. • Seguridad sobre el intercambio de la información, incluido el correo electrónico. • Seguridad sobre canales electrónicos. • Mantenimiento de registros de auditoría y monitoreo del uso de los sistemas. 6. Adquisición, desarrollo y mantenimiento de sistemas de información: • Incluir en el análisis de requerimientos para nuevos sistemas o mejoras a los sistemas actuales, controles sobre el ingreso de información, el procesamiento y la información de salida. • Aplicar técnicas de encriptación sobre la información crítica que debe ser protegida. • Definir controles sobre la implementación de aplicaciones antes del ingreso a producción. • Controlar el acceso a las librerías de programas fuente. • Mantener un estricto y formal control de cambios, que será debidamente apoyado por sistemas informáticos en el caso de ambientes complejos o con alto número de cambios. • Controlar las vulnerabilidades técnicas existentes en los sistemas de la institución. 7. Procedimientos de respaldo: • Procedimientos de respaldos regulares y periódicamente validados. Estos procedimientos deben incluir las medidas necesarias para asegurar que la información esencial pueda ser recuperada en caso de falla en los medios o luego de un desastre. Estas medidas deben ser coherentes con la estrategia de continuidad de negocios de la cooperativa. • Conservar la información de respaldo y los procedimientos de restauración en una ubicación a suficiente distancia, que evite exponerlos ante posibles eventos que comprometan la operación del centro principal de procesamiento. 8. Gestión de incidentes de seguridad de la información: • Procedimientos formales para el reporte de incidentes de seguridad de la información y las vulnerabilidades asociadas con los sistemas de información. • Procedimientos establecidos para dar una respuesta adecuada a los incidentes y vulnerabilidades de seguridad reportadas. -- 50 of 80 -- ANEXO No. 2 FORMATO DEL INFORME DE AUDITORÍA EXTERNA DE TIC El informe de auditoría externa de TIC debe estar debidamente numerado y foliado. Debe contener el formato indicado seguidamente: Documento Contenido Mínimo 1. Carátula del Informe 1.1 Nombre de la Cooperativa supervisada. 1.2 Título del informe: “Auditoría externa de TIC”. 1.3 Número de oficio en que el supervisor de la Cooperativa solicita la auditoría. 1.4 Nombre del Auditor (Firma, socio responsable y encargado del equipo o auditor externo independiente) y el correspondiente código del certificado CISA. 1.5 Fecha de finalización del informe. 2. Secciones del Informe 2.1.1 Identificación de la cooperativa supervisada y otros aspectos importantes a criterio del auditor. 2.1.2 Restricción (Indicar las restricciones con respecto a la circulación del informe) 2.1.3 Equipo de auditoría (Integración del equipo de auditoría: nombre completo de los auditores y rol dentro del equipo) 2.1.4 Periodo de ejecución de la auditoría. 2.1.5 Periodo auditado. 2.2 Alcance de la auditoría (descripción del objetivo y alcance de la auditoría) 2.3 Metodología utilizada en el proceso de revisión 2.4 Limitaciones generales (indicación de las limitaciones generales a que estuvo sujeta la auditoría) 2.5 Resultados de la Auditoría 2.5.1 Opinión general 2.5.2 Conclusiones 2.5.3 Para cada proceso/área evaluada se debe indicar lo siguiente: los hallazgos determinados; los riesgos de TIC a que está expuesto la cooperativa supervisada a raíz de los hallazgos identificados; y, las recomendaciones de solución a los riesgos de TIC señalados en el anteriormente. 2.5.4 Los comentarios de la gerencia al borrador de informe (documento formal y firmado que contiene los comentarios de la gerencia sobre los hallazgos y su aceptación o rechazo). 2.5.5 Detalle de cualquier reserva que el auditor externo de TIC tuviese en cuanto al alcance de la auditoría. 2.5.6 Firmas (el informe debe estar firmado por el socio responsable o el auditor externo independiente). 2.5.7 Anexos (el informe debe contener como mínimo el número del acuerdo en que la Junta Directiva aprueba el informe final de la auditoría externa de TIC; así como cualquier otra documentación que el auditor externo considere relevante) -- 51 of 80 -- (E.N.A.G.) Colonia Miraflores Sur, Centro Cívico Gubernamental Tels.: 2230-1120, 2230-4957, 2230-1339 Suscripciones: Nombre:___________________________________________________________________________________________ Dirección: _________________________________________________________________________________________ Teléfono: _________________________________________________________________________________________ Empresa: __________________________________________________________________________________________ Dirección Oficina: __________________________________________________________________________________ Teléfono Oficina: ___________________________________________________________________________________ Avance El Diario Oficial La Gaceta circula de lunes a sábado Próxima Edición Remita sus datos a: precio unitario: Lps. 15.00 Suscripción Físico y Digital Lps. 2,000.00 anual, seis meses Lps. 1,000.00 La Gaceta está a la vanguardia de la tecnología, ahora ofreciendo a sus clientes el servicio en versión digital a nivel nacional e internacional en su página web www.lagaceta.hn Para mayor información llamar al Tel.: 2230-1339 o al correo: gacetadigitalhn@gmail.com Contamos con: • Servicio de consulta en línea. DECRETA: ARTÍCULO 1.- Otorgar al MUNICIPIO DE CANTARRANAS, DEL DEPARTAMENTO DE FRANCISCO MORAZÁN, el Título de Ciudad Histórica y Cultural. TEGUCIGALPA Col. Miraflores Sur, Centro Cívico Gubernamental, contiguo al Poder Judicial. SAN PEDRO SULA Salida a Puerto Cortés, Centro Comercial, “Los Castaños”, Teléfono: 2552-2699. CENTROS DE DISTRIBUCIÓN: -- 52 of 80 -- La G aceta Sección B A v isos L egales R E P Ú BLICA D E H O N D U R A S - T E G U C I G A L P A , M. D . C . , 1 D E FEBRE R O D E L 2023 N o . 36,144 Sección “B” Republica de Honduras COMISIÓN NACIONAL DE DEPORTES, EDUCACIÓN FÍSICA Y RECREACIÓN AVISO DE LICITACIÓN PÚBLICA NACIONAL República de Honduras COMISIÓN NACIONAL DE DEPORTES, EDUCACIÓN FÍSICA Y RECREACIÓN (CONDEPOR) “Construcción de cancha fútbol 11 y cancha multiuso en los departamentos de Gracias a Dios e Islas de la Bahía” LPN-001-CONDEPOR-2023 La Comisión Nacional de Deportes, Educación Física y Recreación (CONDEPOR), invita a las empresas interesadas en participar en la Licitación Pública Nacional No. LPN-001-CONDEPOR-2023, a presentar ofertas selladas para el Proyecto “Construcción de cancha fútbol 11 y cancha multiuso en los departamentos de Gracias a Dios e Islas de la Bahía”. 1. El plazo de ejecución de las Obras, contados a partir de la fecha señalada en la orden de inicio es: 120 días calendario. 2. El financiamiento para la realización del presente proceso proviene exclusivamente de Fondos Nacionales. La licitación se efectuará conforme a los procedimientos de Licitación Pública Nacional (LPN) establecidos en la Ley de Contratación del Estado y su Reglamento. 3. Los interesados podrán adquirir el Pliego de Condiciones para la Licitación descargándolo de la plataforma honducompras (www.honducompras.gob.hn), además, podrán ser solicitados vía correo electrónico, acompañando una nota debidamente firmada y sellada por el representante de la empresa dirigida al Comisionado Presidente de la Comisión Nacional de Deportes, Educación Física y Recreación (CONDEPOR) Mario Antonio Moncada Godoy; en caso de optar por descargar los pliegos de condiciones de la plataforma honducompras, deberán de manifestarlo vía correo electrónico a la dirección: adquisiciones@condepor.gob.hn, condepor1@mail.com; adjuntando la nota de intención de participar debidamente firmada y sellada por el representante de la empresa. 4. Las Ofertas deberán presentarse a más tardar a las 10:00 a.m., del día lunes 20 de febrero del año 2023. Para los efectos de registro y control deberán presentar una nota de remisión de los sobres o paquetes, para hacer constar la fecha y hora de recibido de la oferta; ofertas electrónicas NO serán permitidas, las ofertas que se reciban después de la fecha y hora indicada serán devueltas sin abrirse a los oferentes, consignándose en el Acta de Apertura de Ofertas. Acto seguido, las ofertas, se abrirán en presencia de los oferentes y/o representantes que deseen asistir en la Sala de Juntas, segundo nivel, oficinas administrativas de CONDEPOR, Estadio “Héctor Chochi Sosa”, Complejo Deportivo “José Simón Azcona” Tegucigalpa, M.D.C., a las 10:15 a.m. del día lunes 20 de febrero del año 2023. Todas las ofertas deberán estar acompañadas de una Garantía de Mantenimiento de Oferta en original por un monto igual al 2% del monto ofertado, con una vigencia de ciento veinte (120) días calendario, contados a partir de la apertura de ofertas, de acuerdo a lo establecido en el literal 18.3 (b) de las instrucciones a los Licitantes del Documento de Licitación. Tegucigalpa, M.D.C., 26 de enero del 2023 Mario Antonio Moncada Godoy COMISIONADO PRESIDENTE DE LA COMISIÓN NACIONAL DE DEPORTES, EDUCACIÓN FÍSICA Y RECREACIÓN (CONDEPOR) 1 F. 2023 -- 53 of 80 -- La G aceta Sección B A v isos L egales R E P Ú BLICA D E H O N D U R A S - T E G U C I G A L P A , M. D . C . , 1 D E FEBRE R O D E L 2023 N o . 36,144 SECRETARIA DE TRABAJO Y SEGURIDAD SOCIAL CERTIFICACION N° 254-2022 La infrascrita, Secretaria Administrativa de la Dirección General del Trabajo. CERTIFICA: La Resolución que literalmente dice: RESOL/DGT/117/2022 DIRECCION GENERAL DEL TRABAJO.- SECRETARIA DE ESTADO EN LOS DESPACHOS DE TRABAJO Y SEGURIDAD SOCIAL. Tegucigalpa, municipio del Distrito Central, un día del mes de septiembre de dos mil veintidós. VISTA: Para dictar resolución, sobre la solicitud presentada por el Ahogado Leopoldo Enrique Romero Banegas, actuando en su condición de Apoderado Legal del SINDICATO DE TRABAJADORES DE LA COMISION NACIONAL PRO-INSTALACIONES DEPORTIVAS (SITRACONAPID), del domicilio de la ciudad de Tegucigalpa, municipio del Distrito Central, departamento de Francisco Morazán, contraída a pedir la aprobación de la Reforma Parcial de los Estatutos de dicha Organización Sindical. CONSIDERANDO (1): Que en fecha cinco de julio de dos mil veintidós, el Abogado Leopoldo Enrique Romero Banegas, actuando en su condición de Apoderado Legal del SINDICATO DE TRABAJADORES DE LA COMISION NACIONAL PRO-INSTALACIONES DEPORTIVAS (SITRACONAPID), presentó ante esta Secretaría de Estado, solicitud de aprobación de Reforma Parcial de los estatutos de la Organización Sindical que representa, con la documentación acompañada para tales efectos, de igual forma las Certificaciones de Actas Nos. 01-2022 ver folio cuatro (4) y del 11 de agosto de 2022 ver folio ocho (08) de elección de Nueva Junta Directiva periodo 2022-2024, así mismo cambio de la denominación de la Institución y del sindicato y reforma del Artículo 45, de la modificación de los estatutos emitida por el Presidente y Secretaria de Actas del SINDICATO DE TRABAJADORES DE LA COMISION NACIONAL PRO-INSTALACIONES DEPORTIVAS (SITRACONAPID). CONSIDERANDO (2): Que las reformas introducidas a los Estatutos de fecha 28 de mayo de 2022 y 11 de agosto de 2022 están encaminadas a modificar sus Estatutos el que a su vez regulará: a) Cambio de la denominación de la Organización Sindical Artículo 1, y b) Periodo de sus funciones Artículo 45. CONSIDERANDO (3): Que el quince de agosto de dos mil veintidós, la Dirección General del Trabajo, emitió dictamen respecto a la solicitud de mérito, concluyendo que el contenido de la reforma no contradice la Constitución de la República, las leyes, las buenas costumbres y el Código del Trabajo, por lo cual el dictamen emitido es favorable. CONSIDERANDO (4): Que el principio de autonomía sindical, garantiza a todas las organizaciones de trabajadores y de empleadores el derecho a redactar sus estatutos y reglamentos administrativos, elegir libremente sus representantes, organizar su administración y actividades y formular su programa de acción. CONSIDERANDO (5): Que de conformidad con el Código del Trabajo, toda modificación a los estatutos debe ser aprobada por la Asamblea General del Sindicato y remitida a la Secretaría de Trabajo y Seguridad Social y a la Dirección General de Trabajo, para su aprobación. POR TANTO: Esta Dirección General del Trabajo en uso de las atribuciones de que está investida y en aplicación de los artículos 128 numeral 14 de la Constitución de la República; 478 numeral 8), 487, 488 del Código del Trabajo; 36 Numeral 8, 120 y 122 de la Ley General de la Administración Pública. RESUELVE Aprobar de la Reforma Parcial de los Estatutos del SINDICATO DE TRABAJADORES DE LA COMISION NACIONAL PRO-INSTALACIONES DEPORTIVAS (SITRACONAPID), presentado por el Abogado Leopoldo Enrique Romero Banegas, en su condición de Apoderado Legal del SINDICATO DE TRABAJADORES DE LA COMISION NACIONAL PRO-INSTALACIONES DEPORTIVAS (SITRACONAPID), misma que modifica el Artículo 1 de los estatutos actualmente vigentes, de manera que en lo sucesivo se leerán de la siguiente manera: a) CAPITULO I ARTICULO 1 De acuerdo con la determinaciones tomadas en la Asamblea General de -- 54 of 80 -- La G aceta Sección B A v isos L egales R E P Ú BLICA D E H O N D U R A S - T E G U C I G A L P A , M. D . C . , 1 D E FEBRE R O D E L 2023 N o . 36,144 fechas veintiocho de mayo de dos mil veintidós, y once de agosto de 2022 se aprobó la Reforma de los Estatutos y por ende el cambio de denominación del SINDICATO DE TRABAJADORES DE LA COMISION NACIONAL PRO-INSTALACIONES DEPORTIVAS (SITRACONAPID), pasando a llamarse SINDICATO DE TRABAJADORES DE LA COMISIÓN NACIONAL DEL DEPORTE DE HONDURAS y sus siglas (SITRACONDEPOR), el cual se clasifica como sindicato de base integrado por los trabajadores/as que laboran en la Institución COMISIÓN NACIONAL DEL DEPORTE DE HONDURAS (CONDEPOR); b) Período de sus funciones Artículo 45. Los miembros de la Junta Directiva ejercerán sus funciones durante tres (3) años, pudiendo ser reelectos. Y MANDA: UNO: Que una vez firme la presente resolución, proceda el Departamento de Organizaciones Sociales a hacer la anotación marginal correspondiente. Se emitió en esta fecha debido a la carga Laboral y por estar en acefalia el cargo de Jefe de Organizaciones Sociales. ABG. KRISTY ESTEFANY ORTIZ GUSMAN.- DIRECTORA GENERAL DEL TRABAJO. ABG. ORIETTA MORENO, SECRETARIA ADMINISTRATIVA”. Extendida en la ciudad de Tegucigalpa, municipio del Distrito Central, el catorce de octubre de dos mil veintidós. ABG. ORIETTA MORENO SECRETARIA ADMINISTRATIVA 1 F. 2023 __________ Poder Judicial Honduras JUZGADO DE LETRAS DE LO CONTENCIOSO ADMINISTRATIVO San Pedro Sula, Cortés El infrascrito, Secretario del Juzgado de Letras de lo Contencioso Administrativo con sede en ciudad de San Pedro Sula, departamento de Cortés, en aplicación del artículo cincuenta (50) de la Ley de la jurisdicción de lo Contencioso Administrativo, a los interesados y para los efectos legales correspondientes; HACE SABER: Que en fecha diecinueve de enero del año dos mil veintitrés el señor Kewin Kennin Contreras Madrid, Interpone demanda con número de Correlativo 0501- 2023-00010-LAP y número asignado por este Juzgado 09-2023-S.P.S contra el Estado de Honduras, representado legalmente por el Abogado Manuel Antonio Díaz Gáleas, en su condición de Procurador General de la República, por actos de la Dirección de la Niñez y Adolescencia y Familia (DINAF), dicha demanda tiene como finalidad que se declare la nulidad de un acto administrativo de carácter particular, notificación de forma defectuosa.- Se impugne el acto administrativo consistente en el acuerdo Nº. 003-2023 de cancelación por cesantía notificado mediante nota de fecha once de enero del año dos mil veintitrés por haberse emitido sin justificación violentando el derecho constitucional a la estabilidad en el trabajo con infracción del poder, reconocimiento de una situación jurídica individualizada, restitución al cargo, nulidad del nombramiento de cualquier sustituto, que se condene al pago de los salarios dejados de percibir desde la fecha de la cancelación hasta que sea reintegrado al cargo mediante sentencia definitiva, reconocimiento de pagos de los respectivos incrementos salariales que en su caso tuviera el puesto durante la secuela del juicio, más el pago del décimo tercer y décimo cuarto mes de salarios, vacaciones y bonificaciones dejados de percibir. San Pedro Sula, Cortés, 25 de enero del año 2023 Licenciado: Juan Antonio Madrid Guzmán Secretario General 1 F. 2023 __________ República de Honduras Secretaría de Estado en el Despacho de Defensa Nacional Fuerzas Armadas de Honduras AVISO DE LICITACIÓN PÚBLICA NACIONAL Proceso de Licitación Pública Nacional No LPN-014-2022-SDN Contratación de Polizas de Seguro Colectivo de Vida, Médico-Hospitalario y Seguro de Vehículos de las Fuerzas Armadas de Honduras para el año 2023 1. La Secretaría de Estado en el Despacho de Defensa Nacional / Fuerzas Armadas de Honduras, en el marco de la ley de Contratación del Estado y su Reglamento, invita a las compañías aseguradoras legalmente constituidas en el país a presentar ofertas para la Contratación de Pólizas de Seguro Colectivo de Vida, Médico-Hospitalario y Seguro de Vehículos de las Fuerzas Armadas de Honduras para el año 2023, mediante el proceso de Licitación Pública Nacional No. LPN-014-2022-SDN. 2. EI financiamiento para la realización del presente proceso proviene de Fondos Nacionales. 3. Órgano responsable de la contratación: la Secretaría de Estado en el Despacho de Defensa Nacional / Fuerzas Armadas de Honduras. -- 55 of 80 -- La G aceta Sección B A v isos L egales R E P Ú BLICA D E H O N D U R A S - T E G U C I G A L P A , M. D . C . , 1 D E FEBRE R O D E L 2023 N o . 36,144 4. Las compañías interesadas podrán adquirir el Pliego de Condiciones a partir de la fecha de publicación de este Aviso hasta el 2 de diciembre del 2022, mediante solicitud escrita, indicando el nombre de la Aseguradora, la dirección, el correo electrónico y teléfonos de contacto, dirigida al: señor Subjefe del Estado Mayor Conjunto, General de División José Ramón Macoto Vásquez, Subjefatura del Estado Mayor Conjunto, ubicada en el barrio El Obelisco, frente al parque El Soldado, Comayagüela, M.D.C., en horario de 9:00 a.m.