LinkedIn Instagram WhatsApp

Podría interesarle…

Cumplimiento de Ciberseguridad de CNBS Honduras

Guía práctica de la Resolución GRD Nro. 793/2022 para bancos, aseguradoras y cooperativas supervisadas en Honduras: controles requeridos, plazos y cómo GLADiiUM le ayuda a cumplir

Solicite una Evaluación Gratuita de Brechas de CNBS

Resolución GRD Nro. 793 del 16 de diciembre de 2022 La Comisión Nacional de Bancos y Seguros (CNBS) actualizó las Normas para la Gestión de Tecnologías de la Información, Ciberseguridad y Continuidad del Negocio, estableciendo obligaciones concretas y verificables para todas las instituciones supervisadas en Honduras. Este es el marco regulatorio de ciberseguridad más importante para el sector financiero hondureño y su incumplimiento expone a las instituciones a sanciones, multas y revocación de licencias.

A pesar de su importancia crítica, la Resolución 793/2022 es uno de los documentos regulatorios menos comprendidos en el ecosistema financiero hondureño. La mayoría de los ejecutivos de TI y cumplimiento en bancos y cooperativas conocen la existencia de la regulación, pero luchan por mapear sus requisitos a controles técnicos concretos e implementables. Esta guía está diseñada para resolver precisamente ese problema.

GLADiiUM Technology Partners cuenta con más de 20 años de experiencia trabajando con el sector financiero hondureño. Conocemos la Resolución 793/2022 desde adentro, no solo como un documento regulatorio, sino como un conjunto de controles que hemos implementado y documentado en instituciones supervisadas por la CNBS.

¿Qué es la Resolución CNBS GRD 793/2022?

La Resolución GRD Nro. 793/16-12-2022 actualizó el Normas para la Gestión de Tecnologías de la Información, Ciberseguridad y Continuidad del Negocio impuestas por la CNBS a las instituciones supervisadas. Estas normativas reemplazan y consolidan regulaciones anteriores, estableciendo un marco integral que abarca cuatro dominios principales:

  • Gobierno de TI Estructura organizacional, roles, responsabilidades y políticas de seguridad de la información a nivel de junta directiva y alta gerencia.
  • Gestión de Riesgos Tecnológicos — Identificación, evaluación, tratamiento y monitoreo de los ciberriesgos específicos del entorno financiero hondureño.
  • Ciberseguridad Operacional — Controles técnicos para proteger la infraestructura: monitorización continua, gestión de acceso, encriptación, gestión de vulnerabilidades y respuesta a incidentes.
  • Continuidad del Negocio — Planes documentados, probados y actualizados para mantener las operaciones durante incidentes de seguridad, desastres naturales o fallos de infraestructura crítica.
Auditoría de Seguridad Financiera y Revisión de Cumplimiento Normativo — GLADiiUM Honduras
Auditoría de cumplimiento de ciberseguridad de CNBS Honduras — Revisión regulatoria Resolución 793/2022 GLADiiUM

Los 8 Controles Críticos de la Resolución 793/2022

Monitoreo Continuo de Seguridad

La regulación exige la supervisión continua de todos los sistemas que acceden a información financiera sensible. GLADiiUM proporciona SIEM 24/7 con alertas validadas por analistas de nuestro NSOC en Honduras.

2. Gestión de Identidades y Accesos

Control granular sobre quién accede a qué sistemas, con autenticación multifactor (MFA) obligatoria para sistemas críticos, cuentas privilegiadas y acceso remoto.

3. Gestión de Incidentes de Seguridad

Procedimientos documentados para la detección, contención, erradicación y recuperación ante incidentes, con tiempos de respuesta medibles y notificación a la CNBS dentro de los plazos definidos.

4. Gestión de Vulnerabilidades

Escaneos periódicos de vulnerabilidades con evidencia de remediación, pruebas de penetración anuales y gestión del ciclo de vida de parches en todos los sistemas críticos.

5. Protección de Datos Financieros

Cifrado de datos en tránsito y en reposo, clasificación de información, controles DLP para prevenir la exfiltración y monitoreo del acceso a datos confidenciales de clientes.

6. Seguridad en la Nube y de Terceros

Evaluación de riesgos de proveedores tecnológicos, controles mínimos para servicios en la nube y requisitos de seguridad en contratos con terceros que acceden a datos financieros.

7. Continuidad del Negocio y Recuperación ante Desastres

Plan de continuidad documentado, probado al menos anualmente, con objetivos de recuperación (RTO/RPO) definidos por criticidad del sistema y componente de ciberseguridad explícito.

8. Auditoría y Evidencia Documental

Registros de auditoría con retención definida, informes de incidentes documentados y evidencia que demuestre la efectividad del control a los inspectores de la CNBS.

¿Qué instituciones deben cumplir?

La Resolución se aplica a todas las entidades supervisadas por la CNBS, incluyendo:

  • Bancos comerciales — nacionales y extranjeros con operaciones en Honduras
  • Instituciones de seguros y reaseguros
  • Cooperativas de ahorro y crédito supervisadas
  • Casas de cambio y empresas de remesas
  • Almacenes Generales de Depósito
  • Empresas emisoras de tarjetas de crédito
  • Proveedores de dinero electrónico (INDEL)
  • Empresas financieras y organizaciones privadas de desarrollo bajo supervisión de la CNBS

Si su institución está supervisada por la CNBS y no cuenta con un programa formal de ciberseguridad alineado a la Resolución 793/2022, usted se encuentra en riesgo regulatorio. GLADiiUM puede realizar una evaluación de brechas en 2 semanas para determinar exactamente su posición y los requisitos necesarios.

Consecuencias del Incumplimiento

La CNBS tiene facultad legal para aplicar medidas correctivas y sanciones a las instituciones supervisadas que incumplan los requisitos de ciberseguridad de la Resolución 793/2022. Las posibles consecuencias incluyen:

  • Observaciones y requisitos formales con plazos de subsanación
  • Planes de mejora supervisados con informes periódicos de la CNBS
  • Multas administrativas que escalan con el incumplimiento reiterado
  • Restricciones operativas sobre productos o servicios específicos
  • Intervención administrativa en casos de riesgo sistémico

Más allá del riesgo regulatorio, el incumplimiento expone directamente a las instituciones a un riesgo operativo: sin los controles de la Resolución 793/2022, una institución supervisada en Honduras es significativamente más vulnerable a ransomware, fraude financiero, robo de datos de clientes y ataques a la infraestructura bancaria central.

Cumplimiento normativo CNBS ciberseguridad bancos Honduras — normativa seguridad financiera
CNBS 793/2022 controles implementación — Programa de cumplimiento GLADiiUM bancos Honduras

Cómo GLADiiUM Implementa el Cumplimiento de la CNBS 793/2022

GLADiiUM ofrece un programa de implementación estructurado en cuatro fases que lleva a una institución supervisada desde su estado actual hasta el cumplimiento demostrable ante la CNBS:

Fase 1 — Evaluación de brechas (2 semanas)

Evaluación completa del estado actual versus los requisitos de la Resolución 793/2022. Entregable: mapa de brechas con prioridad regulatoria, riesgo operativo y esfuerzo estimado de remediación.

Fase 2 — Implementación de controles técnicos (4 a 12 semanas)

Implementación de SIEM, EDR, MFA, gestión de vulnerabilidades y controles de acceso basada en las brechas identificadas. Configuración de alertas específicas para la detección de fraude financiero y el monitoreo de amenazas en la banca central.

Fase 3 — Documentación y Políticas (2 a 4 semanas)

Desarrollo de políticas, procedimientos y planes requeridos por la regulación: Plan de Respuesta a Incidentes, Plan de Continuidad del Negocio, Política de Gestión de Vulnerabilidades, Política de Clasificación de Información y Control de Acceso.

Fase 4 — Monitoreo Continuo y Evidencia (continuo)

SOC como Servicio genera automáticamente la evidencia de auditoría que requieren los inspectores de la CNBS: registros, informes de incidentes, métricas de monitoreo, resultados de pruebas de continuidad y paneles de la postura de seguridad ejecutiva.

Preguntas frecuentes — Resolución 793/2022 de la CNBS

¿Cuándo entró en vigor la Resolución CNBS GRD 793/2022?

La Resolución GRD Nro. 793 fue emitida el 16 de diciembre de 2022 y entró en vigor en la misma fecha. Las instituciones supervisadas tenían cronogramas diferenciados para implementar controles basados en la complejidad, pero a día de hoy todos los plazos de implementación han vencido. Las instituciones que no tengan los controles implementados y documentados se encuentran en incumplimiento activo y sujetas a observaciones y sanciones por parte de la CNBS.

¿Cuál es la diferencia entre la Resolución 793/2022 y la norma ISO 27001?

La norma ISO 27001 es un estándar internacional voluntario de gestión de seguridad de la información aplicable a cualquier tipo de organización. La Resolución 793/2022 de la CNBS es una norma regulatoria de cumplimiento obligatorio, específica para las instituciones financieras supervisadas en Honduras. Si bien comparten muchos principios, la Resolución 793/2022 tiene requisitos específicos al contexto hondureño y las consecuencias del incumplimiento son de carácter regulatorio —multas y sanciones de la CNBS— a diferencia de la ISO 27001, donde el incumplimiento solo resulta en la pérdida de la certificación voluntaria. GLADiiUM puede ayudar a cumplir ambos marcos de forma simultánea.

¿Aplica la Resolución 793/2022 a las cooperativas de ahorro y crédito?

Sí. Las cooperativas de ahorro y crédito bajo supervisión de la CNBS están sujetas a la Resolución 793/2022. Esto incluye a las cooperativas que, por su tamaño o actividades de captación de depósitos, han sido clasificadas como instituciones supervisadas. GLADiiUM cuenta con experiencia específica trabajando con cooperativas en Honduras y puede aclarar el alcance aplicable a su institución.

¿Qué documentos debe tener una institución supervisada para una inspección de la CNBS?

En una inspección de ciberseguridad de la CNBS, los inspectores suelen solicitar: la política de seguridad de la información aprobada por la junta directiva, el plan de respuesta a incidentes con historial de incidentes documentado, los resultados de escaneo de vulnerabilidades con evidencia de remediación, los registros de monitoreo de seguridad con retención mínima según la regulación, el plan de continuidad del negocio con evidencia de pruebas completadas, los registros de acceso a sistemas críticos y los contratos de proveedores de tecnología que incluyan cláusulas de seguridad. GLADiiUM genera automáticamente la mayor parte de esta documentación como parte del SOC como Servicio.

¿Cuánto tiempo toma implementar el cumplimiento de la CNBS 793/2022 desde cero?

Para una institución que parte de un nivel de madurez de ciberseguridad bajo, el programa de implementación completo generalmente requiere de 3 a 6 meses, dependiendo del tamaño de la institución, la complejidad de la infraestructura y la disponibilidad del equipo interno. GLADiiUM puede acelerar esto porque ya contamos con los controles técnicos, plantillas de políticas y experiencia de implementaciones previas en el sector financiero hondureño. La evaluación inicial de brecha de 2 semanas determina el punto de partida exacto y un cronograma realista.

Evalúe el cumplimiento de su institución con la CNBS 793/2022

GLADiiUM realiza una evaluación gratuita de brechas de 2 semanas que mapea el estado actual de su institución frente a los requisitos de la Resolución 793/2022, identificando las brechas de mayor riesgo regulatorio y presentando un plan de remediación priorizado, sin costo ni compromiso.

Solicitar una evaluación gratuita de brechas