PwC: Empresas deben tener plan de adecuación al nuevo Reglamento de Gestión de Ciberseguridad

Con la creciente adopción de canales digitales, mayor interconectividad, virtualización e incremento de amenazas cibernéticas, la Superintendencia de Banca, Seguros y AFP ha aprobado un Nuevo Reglamento para la Gestión de Seguridad de la Información y Ciberseguridad (SGSI C), de acuerdo a la Resolución SBS No. 504
2021.

PricewaterhouseCoopers (PwC) señala que este nuevo reglamento publicado el 19 de febrero del presente año busca fortalecer las capacidades de ciberseguridad de las entes supervisados incorporando los siguientes cambios:

1) Definición de responsabilidades del directorio, gerencia, comités de riesgo y función de seguridad de información y ciberseguridad para aprobar, gestionar, implementar, ejecutar y monitorear los nuevos requerimientos del SGSI C.

2) Informar periódicamente acerca de la gestión de seguridad de información y ciberseguridad como parte de los informes de riesgo operacional.

3) Efectuar un diagnóstico e implementar un programa de ciberseguridad que permita la identificación de activos de información, detección de incidentes de seguridad, respuesta y recuperación de los servicios que pudieran ser afectados.

4) Implementar procesos de autenticación que consideren estándares criptográficos, mecanismos de autenticación, líneas base de seguridad, monitoreo transaccional y pistas de auditoría.

5) Implementar políticas y procedimientos de gestión de incidentes de ciberseguridad y reportar los mismos ante la Superintendencia, y considerar análisis forenses de ser necesario.

6) Se deben establecer criterios para el intercambio de información de ciberseguridad con terceros u otras empresas del sector

7) Se deben enrolar a los usuarios como requisito para el uso de canales digitales y utilizar autenticación reforzada para operaciones con canales digitales.

8) Los servicios provistos por terceros, incluido el uso de la nube, deben cumplir con los requerimientos establecidos por el Reglamento de Gobierno Corporativo y Riesgo Operacional.

9) El uso de tecnología API requiere la implementación de medidas de seguridad mínimas como autenticación mutua, cifrado de almacenamiento o transmisión, revisión de código seguro, monitoreo de eventos, entre otros.

Vigencia, plazos y plan de adecuación

La presente resolución entra en vigencia el 1 de julio del 2021. Los artículos 25.1 y 25.2 relacionados con la autorización para la contratación de servicios significativos de procesamiento de datos desde el exterior entran en vigencia el 24 de febrero de 2021, refiere la compañía auditora.

Luego de 60 días calendario a la publicación del presente reglamento se debe presentar el plan de adecuación aprobado por el Directorio, el cual debe incluir entre otros aspectos: a) diagnóstico preliminar de la situación existente, b) acciones previstas para la adecuación, c) funcionarios responsables del cumplimiento, y d) cronograma de adecuación.

En 30 días calendario las empresas que tengan servicios significativos de procesamiento de datos en el exterior y cuyo marco legal impida el cumplimiento del nuevo reglamento deben presentar un informe con las limitaciones y medidas compensatorias.

“Considerando el plazo de vigencia del nuevo reglamento, es importante definir un plan de adecuación que cumpla con lo requerido por el regulador y que fortalezca la función de Ciberseguridad, teniendo en cuenta no sólo el contexto COVID 19 sino las capacidades necesarias para que cada organización haga frente a las nuevas amenazas cibernéticas emergentes con apoyo del Directorio y Alta Gerencia”, subraya Alexander García, Socio de Ciberseguridad de PwC.