La Superintendencia de Banca, Seguros y AFP, está preparando el reglamento para la gestión de la seguridad de la información y la ciberseguridad, esto como refuerzo a sus anteriores reglamentos en el 2017, 2009, 2008 y 2010, reglamentos relacionados al gobierno corporativo, gestión integral de riesgos, auditoría interna y auditoría externa; el objetivo principal de este movimiento, es enfrentar las brechas de seguridad ante la creciente interconectividad y mayor adopción de canales digitales que ofrecen todos los servicios del sistema financiero.

¿Qué resalta de este reglamento?

Uno de los puntos que hemos podido observar en el borrador alcanzado a nuestro despacho, es la inclusión y acompañamiento de ciberseguridad al sistema de gestión de seguridad de la información que debe presentar las organizaciones supervisadas por SBS, estamos hablando de bancos, cajas, edpymes, AFPs, aseguradoras, dinero electrónico y toda entidad cuyo eje de negocio, son las finanzas. Esto es importante si consideramos que un SGSI puede enfocarse solamente en información en papel o no digital, pero en esta ocasión es un complemento, convirtiéndolo en SGSI-C. Basado en el gobierno corporativo que deben presentar las organizaciones, se mantienen las responsabilidades que deben enfrentar el directorio, la gerencia y el comité de riesgos, sin embargo, deben ampliar esta lista de responsabilidades agregando las correspondientes para el mantenimiento del SGSI-C, como la aprobación de principales políticas y lineamientos para la implementación de SGSI-C y su mejora continua, la aprobación de la adecuada estructura organizativa para enfrentar los riesgos involucrados, aprobar el plan estratégico del SGSI-C, el plan de capacitaciones, fomentar la cultura de riesgo.

Medidas mínimas

En la propuesta aún no formalizada del reglamento, se establecen medidas mínimas que deben adoptar las empresas: Controles de acceso físico y lógico, seguridad en las operaciones, seguridad en las comunicaciones, adquisición, desarrollo y mantenimiento de sistemas, servicios provistos por terceros y gestión de incidentes de seguridad de la información, y tal como la ISO 27002 dicta, son medidas que uno puede adoptar según los métodos que convengan a la organización. Nosotros consideramos que si de las organizaciones ya cuenta con este tipo de medidas solamente le quedaría actualizar sus lista de documentos regulatorios para cuando salga la lista, y verificar si no existen conflictos de términos con los que dicta el reglamento. Por ejemplo, el reglamento indica que la organización debe contar con un Programa de ciberseguridad, y no es que precisamente debas tener un programa tal cual con ese nombre. Las actividades relacionadas pueden estar ya presentes en la organización en diversos escenarios, políticas o documentos internos; estas actividades son: Identificación de activos de información (que es un actividad que la norma ISO 27005 cubre), Protección frente amenazas a los activos de información (una Declaración de Aplicabilidad según ISO 27001, enfrenta ello), Detección de ocurrencia a incidentes (los controles ISO 27002 del dominio de Gestión de incidentes, cubre ello), Respuesta con medidas que reduzcan el impacto de los incidentes (ISO 27004, medición, ayudaría en este cumplimiento), y finalmente Recuperación de las actividades del negocio, y capacidades o servicios afectados (ISO 22301, para establecimiento de Plan de Recuperación ante Desastres cubriría ello). Las exigencias en este nuevo reglamento cubre aspectos estratégicos, tácticos y operacionales, incluye lo que todo ciclo PDCA existe, incluyendo como era obvio los reportes hacia la SBS. Incluso existe un capítulo dedicado a la autenticación, considerando que muchas entidades están aplicando lo que se conoce como Banca Móvil o Consultas en línea. Como se mencionó anteriormente, se busca que los nuevos canales digitales, protejan mejor los datos de los clientes.

Régimen Simplificado del SGSI-C

Esta versión simplificada del SGSI-C es obligatorio para cierto tipo de organizaciones, como Banco de Inversión, EDPYMEs, COFIDE, Fondo MIVIVIENDA, etc. Este régimen no deja escapar la implementación de un ciclo PDCA, y considera ciertos capítulos completos del reglamento, pero hace la aclaración en aspectos que el directorio debe considerar, y lo que la parte operativa debe implementar como controles de medidas de seguridad, sin embargo notamos que este capítulo, aún falta afinar cosas, ya que deja muy abierto el hecho de considerar una revisión anual 6 actividades que requieren planificación y ejecución, y estamos hablando de ciertos controles como: Identificar dispositivos que se conectan a la red interna y todo software que se encuentre instalado en la infraestructura, o, Configurar e implementar una línea base de seguridad en sistemas operativos y aplicaciones utilizadas. Sin embargo, considerando como base ISO 27002 y sus 114 controles, esto no han sido muy aterrizado a la coyuntura de estas organizaciones.

Consejo audit

Las superintendencias seguirán exigiendo cada vez más el cumplimiento normativo relacionados a las tecnologías de la información basado en estándares internacionales, si bien la SBS ha tenido reglamentos para el gobierno corporativo y la gestión integral de riesgos, ahora ha apostado por la inclusión de IT GRC de manera obligatoria, esto permitirá que la transformación digital en el ámbito financiero del país tenga buenas proyecciones a largo plazo, y se considere como una importante ventaja competitiva para el sistema financiero. En audit implementamos los controles necesarios para las entidades mencionadas, basándonos en las normas internacionales de la familia ISO 27000.