La Superintendencia de Banca, Seguros y AFP (SBS) a través de la Resolución SBS N° 504-2021 publicó en febrero último el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, disposiciones que entrarán en vigencia este 1 de julio para las entidades financieras.
Lea también: Cuatro pasos para evitar ataques cibernéticos durante el trabajo remoto
La implementación del programa de ciberseguridad busca mitigar el riesgo operacional, la brecha de seguridad y prevenir el fraude. Lo que hizo el regulador cuando publicó el reglamento en febrero fue pedirles a las empresas que entreguen un plan de adecuación, apunta el gerente de Regulación Financiera y FinTech de EY Law, Darío Bregante.
Hoy, la SBS posiblemente tenga información más clara sobre el nivel de cumplimiento de cada una. Para Bregante, el proceso va a demorar más en las empresas que no han tenido un área de seguridad de la información. Sin embargo, estimó que el plazo que ha brindado el regulador ha sido razonable.
Por su lado, el consultor en Protección de Datos Personales en ESET Perú, Max Cossio, indica que para cajas y cooperativas se estima que este proceso de adecuación tome de 7 a 8 meses aproximadamente. “Y en el caso de la banca y cajas grandes, muchas ya cuentan con la implementación, por lo que será más fácil hacer ajustes y cumplir con el plazo establecido”.
Refirió que no solo van a requerir asesoría de terceros y proveedores de servicios de software de seguridad e implementación de infraestructura. Las entidades financieras también deberán contar con profesionales con conocimientos de seguridad de la información, gestión en ciberseguridad, gestión de riesgos, y continuidad del negocio.
También se deberá cubrir el puesto de Director de Seguridad de la Información (CISO, por sus siglas en inglés), tal como especifica la norma.
Cossío agrega que las entidades deben apostar por soluciones tercerizadas, y no comprar activos que luego hay que renovar. “Esta decisión nos libera un poco de la necesidad de ser expertos en todas las herramientas, ya que el soporte tercerizado lo podrá resolver fácilmente”, dice.
Efectos del reglamento
La norma vela por proteger la información dentro de la empresa del sistema financiero, la de los clientes, y los proveedores de tecnología, revela Bregante. Partiendo de las empresas que se encuentran dentro del régimen general están los bancos, seguros, financieras, y otras con régimen simplificado como las emisoras de dinero electrónico.
Por el lado de los usuarios, afirma que la nueva disposición tendrá repercusión en las operaciones que hacen los consumidores, por la autenticación que requerirá un pago o transferencia de fondos a terceros a través de los canales digitales.
Entre estos factores de autenticación están el código PIN, la identificación biométrica, identificación facial o por voz. “Lo que pide la norma es que hagas un mix, y cuando quieras acceder vas a tener que usar dos de ellos”. El plazo para esta adecuación es julio del 2022.
En cuanto a los proveedores de las entidades financieras, la norma señala que todas las buenas prácticas para proteger los activos de información también se van a tener que vigilar con las empresas que se contraten. Y apuntan a identificar previamente quién va a ser el tercero y evaluar la vulnerabilidad, para que no haya brecha de seguridad.
El nuevo reglamento también se vincula con el servicio de la nube para procesamiento de datos en entidades financieras. “Antes teníamos que en Perú una empresa del sistema financiero que quisiera utilizar servicios en la nube para procesar datos no tenía base legal para poder hacerlo. Hoy se ha hecho un marco regulatorio”. La empresa debe presentar un informe del proveedor demostrando que el proveedor cumple con los lineamientos de seguridad de la información.