Empresas del sector financiero deberán mantener un Programa de Ciberseguridad y adecuarse a nueva no
Empresas del sector financiero deberán mantener un Programa de Ciberseguridad y adecuarse a nueva no
El sector financiero es la industria que mayores avances ha realizado en su proceso de transformación digital en el país. Siendo una de las industrias más importantes y masivas del país, es fundamental que desarrolle capacidades para proteger la información de sus clientes y usuarios. Por ello, fortalecer las capacidades de gestión de seguridad de la información y ciberseguridad es altamente requerido.
En tal contexto, la Superintendencia de Banca, Seguros y AFP (SBS) ha aprobado el Reglamento para la Gestión de la Seguridad de la Información y Ciberseguridad mediante la Resolución N° 504-2021. Esta normativa, si bien incluye las medidas mínimas de seguridad de la información establecidas en la norma anterior (Circular G-140 – 2019 y sus modificatorias), contempla, además, nuevas medidas considerando el contexto de transformación digital llevado a cabo en el sector.
Para el cumplimiento de las medidas mínimas de seguridad de la información, las empresas pueden constituir un Comité Especializado en Seguridad de la Información y Ciberseguridad (CSIC), encargado de:
- Proponer el Plan estratégico del SGSI-C
- El desarrollo de planes operativos relacionados
- La implementación y manejo de operaciones diarias para el funcionamiento efectivo del SGSI-C
Asimismo, la norma establece que toda empresa que cuente con presencia en el ciberespacio debe mantener, con carácter permanente, un Programa de Ciberseguridad (PG-C) aplicable a las operaciones, procesos y otros activos de información asociados. El PG-C debe prever un diagnóstico y un plan de mejora sobre capacidades de ciberseguridad, para lo cual debe seleccionar un marco de referencia internacional sobre la materia.
Por otro lado, una de las principales disposiciones añadidas en esta normativa es el establecimiento de medidas de seguridad para los servicios en nube. Es este ámbito es importante precisar que, si bien los proveedores de servicios en nube reconocidos suelen contar con estándares de seguridad y certificaciones basados en las normas ISO 27001, ISO 27017 e ISO 27018, es requerido que la empresa cuente con sus propios protocolos de seguridad y controles para la administración del servicio en nube. En este aspecto, una guía de referencia es la norma ISO 27017 – Controles de Seguridad para Servicios Cloud, en la cual se establecen controles tanto para el proveedor como para el cliente.
Finalmente, las empresas deben presentar un plan de adecuación al citado reglamento en un plazo que no debe exceder los sesenta (60) días calendario contados a partir del día siguiente de publicada la Resolución (19 de febrero de 2021). Las nuevas disposiciones entrarán en vigencia el próximo 1 de julio de 2021.