Nuevas disposiciones en pro de la seguridad tecnológica

Boletín #182

La Junta Monetaria publicó el 30 de octubre en el Diario de Centroamérica dos resoluciones importantes en materia de tecnología, una relacionada con la administración del riesgo tecnológico en las instituciones financieras, y la otra sobre la administración de la seguridad en los canales electrónicos.

La Resolución JM-98-2025 crea un nuevo Reglamento para la Administración del Riesgo Tecnológico, derogando el anterior de 2021, con el objetivo de “establecer los lineamientos mínimos que los bancos, las sociedades financieras y las empresas especializadas en servicios financieros que forman parte de un grupo financiero, deberán cumplir para administrar el riesgo tecnológico”. Esto supone, entre otros, actualizar y fortalecer aspectos relacionados con la ciberseguridad y la entrada de nuevas tecnologías como la Inteligencia Artificial (IA). Además, incluye requisitos y mecanismos más estrictos para el intercambio de información o la contratación de terceros.

A continuación, algunas de las novedades más destacadas:

Introduce conceptos y definiciones importantes como ciberamenaza, ciberataque, ciberseguridad, incidente cibernético, riesgo tecnológico, sistemas de inteligencia artificial, vulnerabilidad cibernética, entre otros.
Se añade la obligación de al menos una auditoría interna anual para evaluar la eficacia de los procesos en la administración del riesgo tecnológico, las medidas de seguridad de la información, la ciberseguridad y la relación con proveedores de servicios de Tecnologías de la Información (TI), de conformidad con el reglamento.
Asimismo, las instituciones deberán tener un plan estratégico de TI, alineado con la estrategia de negocios, para gestionar los inventarios de infraestructura de TI. También será necesario contar con uno de activos en el ciberespacio. Anteriormente, la norma hablaba de inventarios de Infraestructura de TI, Sistemas de información y Bases de Datos.
Se amplían las funciones del Oficial de Seguridad de la Información –CISO en inglés– (servicio que podrá ser contratado a un tercero). Ahora, además de coordinar y dirigir el equipo de respuestas a incidentes cibernéticos, y gestionar esos incidentes, deberá establecer indicadores clave para medir y evaluar la efectividad de los controles.
Las instituciones obligadas deberán gestionar la seguridad de sus activos de información con el objeto de garantizar la confidencialidad, integridad y disponibilidad de los datos, así como mitigar los riesgos de pérdida, extracción indebida y corrupción de la información a través de mecanismos de: identificación y clasificación de información, monitoreo de seguridad, seguridad física de controles y medidas de prevención de resguardo.
Se añade un artículo específico (Artículo 22) sobre el uso de sistemas de inteligencia artificial. Será necesario crear un “gobierno de los sistemas de inteligencia artificial que incluya políticas y procedimientos, organización y gestión de riesgos”. Entre los controles a implementar se exige “la supervisión humana sobre las decisiones tomadas por estos sistemas”.
Se pone más énfasis en la gobernanza, ya que ahora las instituciones deberán desarrollar e implementar políticas, procesos y procedimientos para una adecuada gobernanza en materia de ciberseguridad con la definición de objetivos, procesos generales, asignación de roles y responsabilidades específicas, mecanismos de monitoreo y gestión de riesgos de los servicios de TI. Además, se deberán brindar capacitaciones en ciberseguridad al personal que desempeñe funciones especializadas, organizar un equipo de respuesta de incidentes cibernéticos (Computer Security Incident Response Team en inglés) e implementar un plan de recuperación de desastres (Art. 34)
Los proveedores que procesen y almacenen información deberán contar con certificaciones vigentes relacionadas con tecnología, seguridad de la información y ciberseguridad. También será obligatorio realizar un análisis de criticidad antes de cada contratación[1], y al menos, durante el primer trimestre de cada año, deberán volver realizar el análisis para determinar si la clasificación de criticidad de los servicios ha cambiado.
Las instituciones deberán conservar un registro actualizado de los servicios contratados con terceros que procesan y/o almacenan información. Debe incluir información como el nombre del vendedor y del proveedor del servicio, el servicio que brindó, la clasificación de criticidad, la fecha del vencimiento del contrato y la ubicación geográfica donde se procesa o almacena la información.

La resolución también incluye algunas fechas importantes para implementar las nuevas exigencias:

Las instituciones deberán actualizar sus inventarios de activos de información, dentro de los tres (3) meses siguientes a la entrada en vigor de este reglamento.
El Manual de Administración del Riesgo Tecnológico y su plan de recuperación ante desastres, deberá ser actualizado dentro de los doce (12) meses siguientes a la entrada en vigor de este reglamento.
A más tardar el 31 de enero de 2027, las instituciones deberán realizar el análisis de criticidad de todos los servicios de procesamiento y/o almacenamiento de información que hubieren sido contratados y clasificarlos en críticos y no críticos.

Por su parte, la resolución JM-99-2025 incluye modificaciones al artículo 9 del Reglamento de Medidas de Seguridad en Canales Electrónicos. Concretamente, busca establecer medidas que contengan como mínimo, la implementación de múltiples factores de autenticación, utilización de canales de comunicación cifrados, uso de contraseñas complejas y cambio periódico, implementación de medidas de bloqueo temporal de acceso y de alertas que permitan identificar movimientos inusuales, así como restricción de conexiones a fuentes de actividad maliciosa e identificación de dominios de internet y páginas web, para así, asegurar la trazabilidad de los dispositivos de los clientes y usuarios de servicios financieros.

Ambas disposiciones aprobadas buscan adaptarse a la actualización de estándares internacionales e implementan mecanismos para la protección y control de la infraestructura de TI. Además, responden a la evolución de las herramientas tecnológicas que utilizamos a diario para implementar el cumplimiento de mejores prácticas y procedimientos en la gestión del riesgo tecnológico.

[1] “Evaluar la autenticidad e integridad del hardware y software antes de su contratación, adquisición o utilización y efectuar la debida diligencia a los proveedores antes de la adquisición de activos de información y/o contratación de servicios con estos”.

Publicado el 6 de noviembre de 2025.

Lecciones de 2025 para alcanzar resultados

A menudo escuchamos la frase “querer es poder”. Incluso hay quien dice que, si deseas algo muy fuerte, se volverá realidad. En un mundo tan complejo y desesperanzador en muchos momentos, nunca está de más tener este tipo de pensamientos positivos para intentar lograr grandes hazañas. Pero si lo analizamos objetivamente, la realidad suele demostrarnos que hacen falta más elementos para que los objetivos que nos marcamos se vuelvan realidad. Incluso, muchas veces creemos que lo hemos hecho todo bien y, aun así, no alcanzamos la meta.

Madurez organizacional para implementar nueva tecnología

El auge de la Inteligencia Artificial (IA) es un fenómeno innegable. Hace apenas tres años que la IA generativa comenzó a sonar, y de acuerdo con la última encuesta de McKinsey, cuando termine 2025, el 88% de las organizaciones utilizarán IA para realizar al menos una función operativa.

Guatemala activa vía rápida de patentes con la USPTO

El 3 de noviembre de 2025 entró en vigor el Acuerdo de Concesión Acelerada de Patentes (APG), suscrito entre el Registro de la Propiedad Intelectual de Guatemala (RPI) y la Oficina de Patentes y Marcas Registradas de Estados Unidos (USPTO, por sus siglas en inglés). Este estará vigente durante cinco años, con la posibilidad de revisión o interrupción con previo aviso.