Finanzas

¿Qué dicen las normas sobre el riesgo tecnológico en las entidades financieras? Empresas deben contratar auditorías externas

El vigente Reglamento General de Gestión de la Tecnología de Información indica que las entidades supervisadas son responsables de planificar, implementar, controlar y mantener un marco de gestión de la tecnología de la información

Las entidades participantes en los cuatro sectores del mercado financiero costarricense (intermediación, valores, seguros y pensiones) están sujetas a las regulaciones del Acuerdo Sugef 14-17 Reglamento General de Gestión de la Tecnología de Información, aprobado por el Consejo Nacional de Supervisión del Sistema Financiero (Conassif) y que incluye tener un marco de gestión y auditorías sobre la seguridad.

Así lo aclaró Silvia Canales, counsel de la firma Ecija Legal, y Juan Durango, abogado especialista en derecho digital de GoLegal.

Dicho reglamento instaura los requerimientos mínimos para la gestión de la tecnología de información que tienen que acatar las entidades supervisadas y reguladas del sistema financiero costarricense; según expresa el artículo uno.

Esta normativa vigente, que aplica a las entidades del sistema financiero nacional, contiene disposiciones en el ámbito de la gobernanza de tecnología de información (TI) —que incluye el componente de la gestión de seguridad— y en el ámbito de la gestión de riesgos operativos, entre los que destacan fraudes externos.

Así lo resumió Alberto Dent, presidente del Conassif, quien agregó que las entidades supervisadas han hecho esfuerzos para implementar mecanismos de seguridad con el propósito de asegurar disponibilidad, integridad y confidencialidad de la información.

Pese a esto, los riesgos de ciberamenazas siguen planteando un reto para el funcionamiento y la estabilidad del sistema financiero costarricense, y mundial, por lo “dinámico de este tipo de riesgos”.

Por tanto, se continuarán valorando nuevas acciones para abordar los riesgos de TI de forma directa, como parte de las medidas para la protección de datos de los consumidores financieros.

—  Alberto Dent, presidente del Conassif

De acuerdo con el presidente del Consejo Nacional de Supervisión del Sistema Financiero, desde el 2009 esta institución definió el Marco de Gestión de Tecnología de Información (MGTI), dispuesto en el vigente Reglamento General de Gestión de la Tecnología de Información, siguiendo las “buenas prácticas internacionales”.

Con este marco normativo se puso en marcha un conjunto de procesos, destinados a gestionar la tecnología de información, que la entidad supervisada debía adoptar como referencia para la gestión integral de sus riesgos tecnológicos; considerando su naturaleza, complejidad, modelo de negocio, volumen de operaciones, criticidad de sus procesos y la dependencia tecnológica.

De manera tal que Silvia Canales, de Ecija Legal, comentó que las entidades supervisadas son responsables de planificar, implementar, controlar y mantener un marco de gestión de TI.

Esto conforme a los procesos descritos en los lineamientos generales que emita cada superintendencia —Superintendencia General de Entidades Financieras (Sugef), Superintendencia General de Valores (Sugeval), Superintendencia de Pensiones (Supén) y la Superintendencia General de Seguros (Sugese)— y considerando los riesgos de la tecnología de información instaurados en la gestión integral de riesgos aprobada por el Órgano de Dirección de cada una de las entidades y la gobernanza de TI que se defina.

El marco reglamentario en mención fue adoptado inicialmente por la Sugef y luego como “norma transversal” por la Sugeval, la Supén y la Sugese, en el 2017.

Dent explicó además que esta normativa incorpora dos procesos relacionados con temas de seguridad a saber: gestionar la seguridad y gestionar los servicios de seguridad.

Precisamente, el Acuerdo Sugef 14-17 Reglamento General de Gestión de la Tecnología de Información detalla que gestionar la seguridad implica definir, operar y supervisar un sistema para la gestión de la seguridad de la información; además de mantener el impacto y ocurrencia de los incidentes de la seguridad de la información dentro de los niveles de “apetito de riesgo” de la empresa.

En línea con lo anterior, el supervisor (la superintendencia) solicita a las entidades supervisadas la contratación de una auditoría externa de TI, sus procesos de gestión y su aplicación. Los resultados determinan los hallazgos y riesgos que deben ser atendidos por la entidad supervisada, así como la estrategia y actividades de seguimiento que se ejecutarán por parte del supervisor; explicó el presidente del Conassif.

Mientras que gestionar los servicios de seguridad conlleva proteger la información de la institución para mantener aceptable el nivel de riesgo de seguridad de la información de acuerdo con la política de seguridad.

“(También implica) establecer y mantener los roles de seguridad y privilegios de acceso de la información y realizar la supervisión de la seguridad. (Y) minimizar el impacto en el negocio de las vulnerabilidades e incidentes operativos de seguridad en la información”, expone el Acuerdo Sugef 14-17 Reglamento General de Gestión de la Tecnología de Información.

Por su parte, Dent manifestó que la normativa vigente requiere que las entidades supervisadas determinen un marco de gestión que garantice la integridad, seguridad, auditabilidad y disponibilidad de la información y de los servicios ofrecidos.

“Por ello, las entidades supervisadas son responsables de planificar, implementar, controlar y mantener un marco de gestión de TI, que considere sus particularidades en atención a su naturaleza, complejidad, modelo de negocio, volumen de operaciones, criticidad de sus procesos y la dependencia tecnológica”, agregó el presidente del Consejo Nacional de Supervisión del Sistema Financiero.

Adicionalmente, las superintendencias han implementado un modelo de Supervisión Basada en Riesgos (SBR), el cual transforma la supervisión de cumplimiento tradicional en un modelo de supervisión basado en principios. Esto, junto al MGTI, ha permitido una evaluación integral de la actividad de la tecnología de información en las entidades supervisadas y así, evaluar de forma transparente la gobernanza de TI y su gestión de seguridad de la información; aseveró Dent.

Todas estas acciones han generado condiciones sólidas para que las entidades estén preparadas dada la dependencia de los servicios de TI en el día a día de nuestra sociedad y su vulnerabilidad a los ciberataques, como se ha observado en los últimos días.

—  Alberto Dent, presidente del Conassif

¿Cuáles medidas han adoptado las entidades financieras a partir de los ciberataques que actualmente sufren algunas instituciones? El presidente del Conassif respondió que, normalmente, estos incidentes activan los planes de contingencia y de continuidad de negocio de las entidades.

Aunque añadió que las medidas son responsabilidad de cada institución y dependen de su “apetito de riesgo y gestión de TI”.

De tal forma, que las acciones específicas difieren entre las entidades y los grupos o conglomerados financieros, debido a que la gestión de tecnología de información y madurez de las unidades de riesgo son diferentes en cada caso.

“Más allá de los ciberataques actuales, desde los supervisores financieros se valoran constantemente nuevas acciones de supervisión y, de ser necesario, hasta la emisión de normativas específicas, tendientes a mantener un proceso de mejora continua en la gestión de los riesgos de TI para el sector. Desde el frente de la supervisión, se activó un proceso de comunicación con los supervisados sobre los planes de contingencia y continuidad de negocio que han ejecutado”, explicó Dent.

Por su parte, Juan Durango, abogado especialista en Derecho Digital de la firma GoLegal, indicó que el ente regulador le permite a la entidad supervisada trabajar bajo un modelo enfocado en la gestión del riesgo de TI y “será la entidad supervisada la que determinará el marco de trabajo apropiado que se adapte a su negocio, de manera que pueda identificar y mitigar ese riesgo”.

“Por lo tanto, en caso de una brecha de seguridad o un acceso no autorizado a la infraestructura de TI, la entidad supervisada deberá demostrar que de manera previa había tomado las medidas necesarias para mitigar ese riesgo y que tenía un plan de acción si este riesgo se materializaba”, concluyó Durango.

LE RECOMENDAMOS

En beneficio de la transparencia y para evitar distorsiones del debate público por medios informáticos o aprovechando el anonimato, la sección de comentarios está reservada para nuestros suscriptores para comentar sobre el contenido de los artículos, no sobre los autores. El nombre completo y número de cédula del suscriptor aparecerá automáticamente con el comentario.