Las empresas del sector financiero que operen en el ciberespacio deben mantener de manera permanente un programa de ciberseguridad (PG-C) aplicable a las operaciones, procesos y otros activos de información asociados.
Así lo dispuso la Superintendencia de Banca, Seguros y AFP (SBS) a través de la Resolución SBS N° 504-2021 que aprueba el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad; y cuyas disposiciones entran en vigencia el 1 de julio de 2021.
Señala que ante la creciente interconectividad y mayor adopción de canales digitales para la provisión de los servicios, así como la virtualización de algunos productos, del sistema financiero, de seguros y privado de pensiones, es necesario que las empresas de dichos sistemas supervisados fortalezcan sus capacidades de ciberseguridad y procesos de autenticación.
De este modo, la norma detalla que este PG-C debe prever un diagnóstico y un plan de mejora sobre capacidades de ciberseguridad, para lo cual debe seleccionar un marco de referencia internacional sobre la materia, que le permita cinco puntos:
- Identificación de los activos de información
- Protección frente a las amenazas a los activos de información
- Detección de incidentes de ciberseguridad
- Respuesta con medidas que reduzcan el impacto de los incidentes
- Recuperación de las capacidades o servicios tecnológicos que pudieran ser afectados.
La normativa también dispone que las empresas deberán implementar procesos de autenticación, conforme a la definición establecida en este Reglamento, para controlar el acceso a los servicios que provea a sus usuarios por canales digitales
De igual manera, debe reportar a la SBS en cuanto advierta la ocurrencia de un incidente de ciberseguridad que presente un impacto adverso significativo verificado o presumible de: la pérdida o hurto de información de la empresa o de clientes, fraude interno o externo, impacto negativo en la imagen y reputación de la empresa, y la interrupción de operaciones.
Además, la empresa debe efectuar un análisis forense para determinar las causas del incidente y tomar las medidas para su gestión. “El informe resultante de dicho análisis debe estar a disposición de la Superintendencia, el que debe tener un contenido ejecutivo y también con el detalle técnico correspondiente”, detalla el documento.
La norma precisa que en un plazo que no debe exceder de 60 días calendario contados a partir del día siguiente de la publicación de la presente Resolución, las empresas deben presentar a la SBS un plan de adecuación al citado reglamento.
Fuente: Gestión
