El 17 de agosto de 2011, la Junta Monetaria emitió el “Reglamento Para La Administración del Riesgo Tecnológico”, el cual tiene por objeto establecer los lineamientos mínimos que las entidades financieras deben cumplir para evitar el riego tecnológico. Recientemente, en Marzo 2020 fue reformado dicho Reglamento.
El acelerado crecimiento de la banca a nivel mundial, y el desarrollo e intercambio de las TICs, ha eliminado barreras en los servicios financieros, lo cual lleva consigo un incremento al RIESGO TECNOLÓGICO FINANCIERO y a los CIBERATAQUES, por ende, se ven afectados los ACTIVOS EN EL CIBERESPACIO.
Es por ello la importancia que todas las entidades financieras posean un PROGRAMA DE CUMPLIMIENTO EFECTIVO, que aborde el RIESGO TECNOLÓGICO, y por ende crear un conjunto de procedimientos y mejores prácticas internacionales, para identificar y clasificar los riesgos operativos y legales, que como mínimo deberían de tener los siguientes procesos:
- Identificar
- Medir
- Monitorear
- Controlar
- Prevenir
- Mitigar el riesgo tecnológico
La modificación e incorporación del reglamento fue emitida el 24 de marzo de 2020, y consistió en los siguientes artículos:
“Modificar los artículos 1, 2, 3, 4, 5, 6, 7, 11, 13, 14, 15, 17, 18, 19, 20, 21, 22, 23, 24, 25, 26, 27, 28, y 29; el nombre de los CAPÍTULOS V, VI, VII; así como incorporar los artículos 17 Bis., 19 Bis., 30, 31, 32, 33, 34, 35, 36, 37, 38; y adicionar el CAPÍTULO VIII”
Las principales modificaciones del Reglamento consistieron en:
- Regular sobre la ciberseguridad, y recuperación de los ciberataques. [1]
- Designar a un Oficial de Seguridad de la Información.[2]
- La implementación del Centro de Operaciones de Seguridad Cibernética.[3]
- La organización de un equipo de respuesta de incidentes cibernéticos. [4]
- Incorporación de aspectos de ciberseguridad en contratación de proveedores. [5]
- Plan de recuperación ante desastres, (anteriormente conocido como Plan de continuidad de operaciones). [6]
Se agregaron nuevas definiciones, entre ellas:
- Ciberataque: “Es un evento con la intención de causar daño en uno o varios activos en el ciberespacio de la institución”.
- Ciberseguridad: “Políticas, estrategias, recursos, soluciones informáticas, prácticas y competencias para preservar la confidencialidad, integridad y disponibilidad de los activos en el ciberespacio”.
- Resiliencia Cibernética: “La capacidad de la institución para adaptarse a las condiciones cambiantes y prepararse para resistir, responder y recuperarse rápidamente de un ciberataque”.
Nace la figura del “Oficial de Seguridad”, que será nombrado por el consejo de administración de las entidades financieras, y entre sus funciones estará la de coordinar el cumplimiento de las políticas, procedimientos, y mecanismos de seguridad de la información y ciberseguridad para preservar la confidencialidad, integridad y disponibilidad de la información de la institución.
Las entidades financieras deberán contar con:
- Políticas y procedimientos para promover una cultura de seguridad de la información.
- Programas continuos de capacitación a todo su recurso humano.
- Programas de concientización a los usuarios de la institución.
debiendo llevar un registro de la realización de estos programas.
Se regulo un capítulo completo sobre Ciberseguridad
Las instituciones deberán establecer e implementar políticas y procedimientos para gestionar efectivamente la ciberseguridad, debiendo considerar, como mínimo, las funciones siguientes:
- a) Identificación;
- b) Protección;
- c) Detección;
- d) Repuesta; y,
- e) Recuperación.
Se deberá implementar un Equipo de Respuesta de Incidentes Cibernéticos (Computer Security Incident Response Team),
Quien actuará ante la existencia de un incidente cibernético, con el objeto de contener y mitigar el impacto, así como promover los procesos de recuperación y resiliencia, el cual actuará en línea con el plan de recuperación ante desastres, y el plan de continuidad del negocio de la institución.
Contratación de proveedores
Cuando las entidades contraten operaciones o servicios de terceros que tengan relación con sus activos en el ciberespacio, deberán incluir en el contrato a suscribir, como mínimo, lo siguiente:
- Obligación del proveedor de contar con políticas, procedimientos y mecanismos para la gestión de su ciberseguridad;
- Mecanismos específicos, durante el plazo del contrato, que garanticen la protección de los activos en el ciberespacio, autorizando a la institución poder realizar revisiones periódicas de dichos mecanismos o de los certificados de seguridad de la información reconocidos internacionalmente extendidos al proveedor; entre otras regulaciones.
Plan de recuperación ante desastres
Las instituciones deberán contar con un plan de recuperación ante desastres, que esté alineado con el plan de continuidad del negocio de la institución.
Las modificaciones e incorporaciones del reglamento entraran en vigor el 24 de octubre de 2020; pero la designación del Oficial de Seguridad de la Información; la implementación del Centro de Operaciones de Seguridad Cibernética; y, la organización del Equipo de Respuesta de Incidentes Cibernéticos, deberá realizarse a más tardar el 4 de enero de 2021.
Para más información:
Manolo Rivera
[1] Ver Artículo 20 del Reglamento Para La Administración Del Riesgo Tecnológico.
[2] Ver Artículo 17 del Reglamento Para La Administración Del Riesgo Tecnológico.
[3] Ver Artículo 23 del Reglamento Para La Administración Del Riesgo Tecnológico.
[4] Ver Artículo 26 del Reglamento Para La Administración Del Riesgo Tecnológico.
[5] Ver Artículo 27 del Reglamento Para La Administración Del Riesgo Tecnológico.
[6] Ver Artículo 29 del Reglamento Para La Administración Del Riesgo Tecnológico.
