Mediante aviso publicado por la Superintendencia de Banca, Seguros y AFP (SBS) en su portal institucional, el día 18 de agosto de 2020, se dio a conocer al público en general el proyecto de Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad.

De acuerdo con lo señalado por la propia SBS, este proyecto tiene como finalidad actualizar la normativa vigente referida a la seguridad de la información debido a que el entorno en el que actualmente se brindan los servicios del sistema financiero, de seguros y privado de pensiones es mucho más dinámico y de rápido crecimiento, pero también más expuesto a posibles ciberamenazas derivadas de la interconexión existente y a la creciente adopción de canales digitales.

Si bien es cierto, en la actualidad ya contamos con herramientas legales como el Reglamento para la Gestión del Riesgo Operacional, aprobado mediante Resolución SBS Nº 2116-2009, y la Circular Nº G-140-2009, Circular de Gestión de la Seguridad de la Información, también aprobada por la SBS. En efecto, la coyuntura actual nos insta a reforzar el marco normativo vigente, motivo por el cual el proyecto publicado se constituye como un buen complemento, sobre todo, considerando que recoge estándares y buenas prácticas internacionales en la materia.

Ahora bien, entre los principales que contempla el mencionado proyecto, tenemos a los siguientes aspectos:

  • Establecer los parámetros para el desarrollo de un Sistema de Gestión de Seguridad de la Información y Ciberseguridad (SGSI-C) para las empresas supervisadas, que permita identificar y proteger los activos de información, así como detectar y responder ante eventos de seguridad y ciberseguridad.
  • Contar con tres niveles de proporcionalidad (general, simplificado y reforzado) en materia de seguridad de la información según el tipo de empresa supervisada, para lo cual se tendrá en consideración el tamaño, la naturaleza y la complejidad de sus operaciones.
  • Implementar medidas mínimas de seguridad de la información en los SGSI-C y contar con un equipo especializado en el manejo de incidentes de ciberseguridad.
  • Establecer la obligación de contar con un programa específico de gestión de incidentes de ciberseguridad (PG-C) para toda empresa supervisada con presencia en el ciberespacio; este programa será aplicable a las operaciones, procesos y otros activos de información asociados.
  • Implementación de procesos de autenticación para canales digitales. Estos procesos se encontrarán sujetos a evaluación constante sea por cambios en la tecnología o por el descubrimiento de vulnerabilidades en la misma.
  • Cuando se trate de operaciones realizadas mediante canales digitales (transferencias de fondos, pagos, contratación), se deberá reforzar el proceso de autenticación. Sin embargo, existen operaciones que se encontrarán exentas de ello (consulta de saldos, estados de cuenta, operaciones de micro pago o de pagos periódicos previamente autorizados).

Tal y como se puede apreciar, este proyecto recoge aspectos interesantes y muy necesarios que, en conjunto con las normas ya existentes, permitirán que las operaciones realizadas en el sistema financiero, de seguros y privado de pensiones sean mucho más seguras, lo cual repercutirá positivamente en las empresas supervisadas (entidades financieras, asegurados, fondos de pensiones) y en los usuarios de éstas.

Por ello, en aras de poder mejorar la propuesta normativa, la SBS ha dispuesto en su portal web un formulario electrónico que permitirá recabar comentarios y sugerencias del público en general hasta el día 17 de setiembre de 2020.

Siendo así, los invitamos a revisar este proyecto de reglamento y, en caso lo consideren oportuno, puedan brindar sus aportes.