A través de la Resolución SBS N° 504-2021, la Superintendencia de Banca, Seguros y AFP (SBS) publicó en febrero último el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, disposiciones que entrarán en vigencia este 1 de julio para las entidades financieras.
Al respecto, Max Cossio, experto en ciberseguridad de ESET Perú, comentó que, si bien la adaptación de los requisitos que solicita este reglamento podría demorar entre 7 a 8 meses dependiendo del tamaño de la entidad financiera, las cajas rurales y las cooperativas son las que están presentando mayor dificultad.
MIRA | Estos son los riesgos para las empresas financieras de no contar con un sistema de ciberseguridad
“El sistema de gestión de seguridad de la información y ciberseguridad en su artículo 4 establece un aspecto muy importante que es la proporcionalidad en función al tamaño, a la naturaleza y la complejidad de las operaciones de la entidad. Es así como podrá acogerse al régimen general, el régimen simplificado y el régimen reforzado”, indicó Cossio.
Otros aspectos y temas que resalta la normativa son la ciberseguridad, autenticación, el reporte de incidentes de ciberseguridad significativos, el intercambio de información de ciberseguridad, la provisión de servicios por terceros (nube, procesamiento de datos) y la obligación de informar y reportar a la SBS.
¿Cómo se beneficiarán los usuarios?
Actualmente muchas empresas del sistema financiero, como bancos, las cajas municipales y las AFP o empresas de seguros, ya cuentan con sistemas de ciberseguridad robustos. Sin embargo, con la medida de la SBS, van a tener que involucrar a otras áreas y a la dirección general para comunicar sobre posibles incidentes, además de tener la obligación de compartir la información con todas las entidades del sector.
“Aunque este procedimiento todavía no ha sido establecido, se conoce la obligatoriedad de informar. Por lo que todas las entidades van a contar con las buenas prácticas y así evitar que se expandan los ciberataques y las acciones maliciosas de parte de los ciberdelincuentes”, resaltó el experto en ciberseguridad de ESET Perú.
Por otro lado, señaló que esta normativa es más ambiciosa que las impuestas en países vecinos como Chile, Colombia y Argentina, por lo que Perú llevaría la delantera en el ámbito de la ciberseguridad, siendo uno de los países más afectados por esta problemática.
También recordó que la norma recomienda de manera implícita el marco de Ciberseguridad NIST (Cibersecurity Framework), basado en cinco pilares para un programa de ciberseguridad holístico: identificar el contexto, proteger los sistemas y activos, detectar los desvíos, responder antes incidentes y recuperar las operaciones del negocio.
Así como también se debería contar con un profesional CISO, (Chief Information Security Officer) que se encargue especialmente de los temas de seguridad de la información y que no debería pertenecer al área de TI, sino como parte de las operaciones o auditoría para tener una visión independiente y más confiable el manejo de la ciberseguridad.