Entidades financieras deberán implementar nuevo sistema de ciberseguridad

El pasado febrero la Superintendencia de Banca, Seguros y AFP, a través de la Resolución SBS N° 504-2021, publicó el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad con las disposiciones para las entidades financieras que entraron en vigencia el 1 de julio.

Ante esto, el experto en ciberseguridad de ESET Perú, Max Cossio comentó que, si bien la adaptación de los requisitos que solicita este reglamento podría demorar entre 7 a 8 meses dependiendo del tamaño de la entidad financiera, las cajas rurales y las cooperativas son las que están presentando mayor dificultad.

“El sistema de gestión de seguridad de la información y ciberseguridad en su artículo 4 establece un aspecto muy importante que es la proporcionalidad en función al tamaño, a la naturaleza y la complejidad de las operaciones de la entidad. Es así como podrá acogerse al régimen general, el régimen simplificado y el régimen reforzado”, indicó Cossio.

Otros aspectos y temas que resalta la normativa son la ciberseguridad, autenticación, el reporte de incidentes de ciberseguridad significativos, el intercambio de información de ciberseguridad, la provisión de servicios por terceros (nube, procesamiento de datos) y la obligación de informar y reportar a la SBS.

¿Cómo beneficia esta normativa a los usuarios?

En la actualidad muchas empresas del sistema financiero ya cuenta con sistemas de ciberseguridad robustos. Sin embargo, con la nueva medida de la SBS, tendrán la obligación de involucrar a otras áreas y a la dirección general para comunicar sobre posibles incidentes; además, deberán compartir la información con todas las entidades del sector.

Cossio resaltó que: “Aunque este procedimiento todavía no ha sido establecido, se conoce la obligatoriedad de informar. Por lo que todas las entidades van a contar con las buenas prácticas y así evitar que se expandan los ciberataques y las acciones maliciosas de parte de los ciberdelincuentes”.

Por otro lado, Cossio también señaló que esta normativa es más ambiciosa que las impuestas en otros países de la región como Chile, Colombia y Argentina, por lo que Perú llevaría la delantera en el ámbito de la ciberseguridad, siendo uno de los países más afectados por esta problemática.

Esta norma recomienda, de manera implícita, el marco de Ciberseguridad NIST (Cybersecurity Framework) basado en cinco pilares para un programa de ciberseguridad holístico: identificar el contexto, proteger los sistemas y activos, detectar los desvíos, responder antes incidentes y recuperar las operaciones del negocio.

Así como también se debería contar con un profesional CISO, (Chief Information Security Officer) que se encargue especialmente de los temas de seguridad de la información y que no debería pertenecer al área de TI, sino como parte de las operaciones o auditoría para tener una visión independiente y más confiable el manejo de la ciberseguridad.

*Fuente: El Comercio

Comments are closed.