3 puntos clave del nuevo reglamento de ciberseguridad

Durante los primeros meses del año se han publicado importantes reglamentos de la SBS, entre ellos el nuevo Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad.

Este reglamento tiene como objetivo la regulación de temas de seguridad y ciberseguridad de los usuarios y del sistema financiero, aspectos que antes estaban regulados en diferentes normas, atendiendo a la creciente digitalización de los servicios financieros acelerada por la pandemia del Covid-19.

El Gerente del área de Regulación Financiera y FinTech de EY Law, Dario Bregante, indica que hay 3 aspectos claves en el Reglamento de Gestión de la Seguridad de la Información y Ciberseguridad:

  • Contratación digital:

A partir de que el reglamento entre en vigor, el acceso a las plataformas digitales de las empresas supervisadas requieren de, al menos, dos factores de autenticación, los cuales pueden ser: clave secreta, token físico, huella digital o reconocimiento facial.

Según Numa Arellano, Socio de Consultoría para la Industria Financiera de EY: “El principal riesgo de cara a la contratación digital es el riesgo de fraude por suplantación de identidad, es por ello que la nueva norma incluye requisitos mínimos de control para poder mitigar dicho riesgo en el proceso de autenticación”.

Además, agregó que, para que los riesgos asociados a la seguridad de la información y ciberseguridad sean tratados de forma apropiada, se deberá constituir un Comité Especializado en Seguridad de la Información y Ciberseguridad (CSIC) para asumir las responsabilidades específicas de gestión, así como solicitar que la Función de Seguridad de Información y Ciberseguridad incluya dentro de sus funciones, actividades claves para el despliegue del programa y manejo de incidentes. Para lo cual deben contar con un equipo de trabajo multidisciplinario, capacitado para su manejo.

  • Gestión de los servicios provistos por terceros y la subcontratación:

A partir de que el reglamento entre en vigor, el acceso a las plataformas digitales de las empresas supervisadas requieren de, al menos, dos factores de autenticación, los cuales pueden ser: clave secreta, token físico, huella digital o reconocimiento facial.

Dario enfatiza que la nueva normativa aplicable a subcontratación tendrá un impacto en las alianzas entre el sector financiero y las FinTech, las cuales están enmarcadas en el uso de APIs (interfaz de programación de aplicaciones, mejor conocido como API por sus siglas en inglés).

Además, Numa, agregó que la banca se encuentra impulsando el proceso de transformación digital proponiendo nuevos servicios a sus clientes en los canales digitales. Tal es el caso de la colaboración entre Kambista y Rappi con Interbank, de esta manera las FinTechs podrán integrar servicios financieros bancarios en la plataforma de esta, a través del uso de API. Respecto a esto, la empresa debe diseñar una estrategia tributaria para protegerse, ya que al final es ella quien asume la responsabilidad sobre los procesos.

  • Procesamiento de datos en el exterior:

Debido al incremento de servicios en la nube, Dario comenta que ya no será necesario solicitar una autorización a la SBS para el procesamiento de datos en el exterior, siempre y cuando las empresas cumplan con las obligaciones previstas en el Reglamento, que consisten en asegurar el acceso adecuado a la información , en tiempos razonables y a solo requerimiento, por parte de la SBS, así como asegurar que la información confidencial en custodia del proveedor sea eliminada definitivamente en caso de término del servicio.

Numa finalizó agregando que: “Sin duda un reto para las entidades financieras, ya que consolida el cumplimiento de los lineamientos asociados a la Gestión del Riesgo Operacional, Gestión Integral de Riesgos y Seguridad de la Información y Ciberseguridad”.

*Fuente: Gestión

Comments are closed.