La SBS busca adecuar el marco normativo vigente sobre la seguridad de la información, a las exigencias propias de un entorno cada vez más dinámico e interconectado en el que se desenvuelven las entidades financieras, aseguradoras y AFP.
La Superintendencia de Banca, Seguros y AFP (SBS) publicó un proyecto de reglamento para la gestión de seguridad de la información y ciberseguridad, complementario al reglamento para la gestión del riesgo operacional, que actualiza los requisitos establecidos sobre seguridad de la información.
Con este proyecto, la SBS indicó que buscará adecuar el marco normativo vigente a las exigencias propias de un entorno cada vez más dinámico e interconectado en el que se desenvuelven las entidades financieras, aseguradoras y AFP, que implica una mayor exposición a ciber amenazas. Esto, según la superintendencia, requiere de mayores esfuerzos para mantener la seguridad en los servicios ofrecidos a los usuarios.
Nancy Yong, socia líder de servicios de gobierno corporativo, riesgo y cumplimiento de PwC Perú, indicó que han pasado 11 años desde la elaboración del primer reglamento para la gestión de seguridad de la información y ciberseguridad. “Han cambiado muchas cosas durante ese periodo y por ello, deben incorporarse las nuevas formas de hacer negocios, sobre todo en industrias como la del sistema financiero, donde el componente del impacto informático es muy importante”, agregó Yong.
“Este proyecto de la SBS propone alinear todo lo que significa la identificación de la gestión de la seguridad de información con el contexto actual. Este contexto podría estar agravado por la pandemia, ya que actualmente muchos están trabajando de manera remota, con lo cual el nivel de dependencia que hoy tenemos de la tecnología de la información es muy alta”, subrayó Yong.
A su turno, Alejandro Magdits, socio de consultoría de EY Perú, considera oportuno que se actualice y se amplíe la norma, sobre todo porque los medios informáticos y digitales se están usando más que en otras épocas como consecuencia de las medidas restrictivas dictadas ante el avance del coronavirus.
“Los ciberataques se han incrementado también de manera considerable en todo el mundo. Por tanto, es importante que todas las empresas recojan las propuestas de la SBS y revisen si es que están cumpliendo con ellas. No solamente para cumplirlas que es la aspiración más sencilla, sino también para mejorar o implementar algunas otras que les falten, con la finalidad de que se protejan adecuadamente, puedan prevenir incidentes, y eventualmente tengan la capacidad de responder frente a estos”, enfatizó Magdits.
PRINCIPALES PROPUESTAS
En detalle, el proyecto plantea el establecimiento de un marco para el sistema de gestión de seguridad de la información, la implementación de la autenticación en canales digitales, y la subcontratación de servicios de procesamiento de datos (incluyendo el procesamiento en la nube). Asimismo, propone la actualización e incorporación de requisitos en materia de seguridad de la información, asociados a la proporcionalidad de lo exigido.
Respecto al sistema de gestión de seguridad de la información, el proyecto indica que las empresas deberán contar con un plan estratégico que prevea el análisis de amenazas y vulnerabilidades de los activos de información, que atienda las necesidades de capacitación y difusión; y que garantice la ejecución de pruebas periódicas de seguridad.
También, las compañías deberán contar con un equipo especializado para el manejo de incidentes de ciberseguridad, cuya función será reportar dichos incidentes a la SBS y promover el intercambio de información de ciberseguridad con los organismos competentes.
Con relación a los requisitos de autenticación en canales digitales, se requiere que las empresas implementen procesos de autenticación, los que deben ser reevaluados cada vez que se presenten cambios en la tecnología que los soportan, o tras el descubrimiento de nuevas vulnerabilidades en la misma. También, se requiere una autenticación reforzada para aquellas operaciones que impliquen una transferencia de fondos, un pago, la solicitud de un trámite o la contratación de un producto o servicio, modificación de límites y condiciones en los que se proveen los servicios, y otros que pueden originar una operación fraudulenta o perjuicio del cliente.
En cuanto a la proporcionalidad en materia de seguridad de la información, el proyecto de reglamento desarrolla requisitos diferenciados en tres niveles.
El primer nivel, denominado “aplicación general”, requiere de medidas asociadas a la seguridad de información, autenticación, subcontratación del procesamiento de datos y ciberseguridad para bancos, financieras, cajas, aseguradoras, AFP, Banco de la Nación, emisores de dinero electrónico y empresas de transporte, custodia y administración de numerario.
El segundo nivel, llamado “simplificado”, comprende a empresas como las Edpyme, Fondo Mivivienda, Fogapi, Agrobanco, Cofide, Derramas y empresas de transferencias de fondos.
El tercer nivel, denominado “reforzado”, se dirige a las empresas más grandes y con operaciones más complejas sujetas a un requerimiento de patrimonio efectivo por riesgo de concentración de mercado, sin perjuicio de que la SBS incluya otras empresas, para las que se especifican requerimientos más exigentes.
Otras medidas propuestas tienen como propósito reforzar las responsabilidades para el directorio, la gerencia, el comité de riesgos y la función independiente de seguridad de la información y ciberseguridad.
Aborda la digitalización