Nuevo reglamento aprobado por la SBS para la administración de seguridad de la información y ciberseguridad

El ámbito en que se desarrollan las entidades del sistema financiero, de seguro y de AFP es cada vez más interconectado y con más exposición a las amenazas cibernéticas, lo que necesita desarrollar novedosas habilidades y medidas de prevención, identificación, detección y contestación.

Es por ello que la Superintendencia de Banca, Seguros y AFP (SBS), mediante la resolución N° 504-2021, aprobó el Reglamento para la administración de estabilidad de la información y ciberseguridad, que instituye un marco de alusión para el sistema de administración de seguridad de la información.

Los nuevos requisitos desarrollan la obligación de disponer de un programa de ciberseguridad, procesos de autenticación en canales digitales, y prácticas seguras en los servicios provistos por terceros. Las organizaciones tienen que detectar, identificar y contestar a amenazas y vulnerabilidades en el ciberespacio, así como en los múltiples sistemas de información y tecnología relacionada. Dichos lineamientos son más exigentes para las organizaciones de mayor tamaño y dificultad, siguiendo un criterio proporcional al peligro.

Además, se actualizan los requerimientos asociados a la administración de los servicios provistos por terceros y la subcontratación, toda vez que dichos servicios crecen en trascendencia, en la manera de servicios recibidos por las organizaciones, así como alianzas y otros convenios con organizaciones Fintech (Empresas con prácticas financieras que tienen una extrema dependencia de la tecnología).

El procesamiento en nube es también desarrollado, y en la situación del procesamiento de información transfronterizo se ha eliminado el proceso de autorización, excepto que existan condiciones que tienen la posibilidad de determinar el cumplimiento de los requisitos aplicables.

Por último, se realizan cambios a los Reglamentos de Tarjetas de Crédito y Débito, y de realizaciones con dinero electrónico, a fin de conseguir que las tarjetas incluyan menor información cuando son emitidas en forma física o digital.

Las nuevas disposiciones para la gestión de seguridad de la información y ciberseguridad entrarán en vigencia el 1 de julio de 2021, salvo los requisitos de autenticación, que será el 1 de julio de 2022. Las empresas en marcha deben preparar y presentar un plan de adecuación aprobado por el directorio, en un plazo no mayor de sesenta (60) días calendario contados a partir del día siguiente de la publicación de la Resolución.