Actualización en los requerimientos para las Instituciones de Intermediación Financiera respecto a la seguridad de la información

 

A partir del 31 de octubre de 2021 ha entrado en vigor la aplicación de la Guía de los Estándares Mínimos de Gestión relativos a la Seguridad de la Información, aplicable para las Instituciones de Intermediación Financiera reguladas por el Banco Central del Uruguay. Se trata de un paso importante hacia la mejora de los procesos de gestión de la Seguridad de la Información, en un sector cada vez más expuesto a las ciber amenazas. Cabe recordar algunos números que muestran el panorama vinculado con los riesgos de ciberseguridad a nivel global, a efectos de entender la necesidad de esta guía.

 

Según la “EY Global Information Security Survey” de 2021 (encuesta anual realizada a clientes a nivel mundial de EY sobre seguridad de la información), las empresas cuentan con un presupuesto muy limitado dedicado a la ciberseguridad (cerca del 0,05% de los ingresos), muy por debajo de la inversión dedicada a las tecnologías de la información  (TI). Al mismo tiempo, la pandemia ha traído consigo un aumento a la exposición de estos riesgos, debido al incremento del teletrabajo en las instituciones. En este sentido, existe una preocupación creciente a nivel organizativo, ya que el 77% de los encuestados notó aumentos en el número de ataques que implicaron la interrupción de  los servicios de TI. Por tal motivo, resulta razonable esperar en el sector financiero la misma preocupación a sus organismos reguladores, como lo es el Banco Central.

 

Los Estándares Mínimos de Gestión (EMG) surgen bajo la necesidad del Banco Central del Uruguay de supervisar a las Instituciones de Intermediación Financiera desde el punto de vista de la calidad de su gestión y gobernanza. Dichos estándares son utilizados como punto de partida para evaluar y valorar los componentes de Gobierno Corporativo, situación económico-financiera, cómo la entidad gestiona los riesgos y cómo son gestionados los riesgos tecnológicos, la confiabilidad y la eficacia de los sistemas de información. A estos componentes se los conoce por la sigla “CERT” (Gobierno Corporativo, Situación Económico-Financiera, Riesgos y Tecnología). Si bien éstos han sido definidos hace varios años, existe una actualización de 2017 en la cual se han incorporado requerimientos específicos de Seguridad de la Información dentro de distintos EMGs, como forma de mitigar los riesgos tecnológicos vinculados al uso de tecnologías (propias o a través de proveedores externos). 

 

A nivel conceptual, la introducción de la guía no cambia el foco ni el alcance de los requerimientos estipulados en los EMGs. Sin embargo, resulta una evolución significativa desde el punto de vista de su vínculo con la cuarta versión del Marco de Ciberseguridad de AGESIC. Este marco ha sido fruto del trabajo de dicha agencia, orientado para cualquier organización que requiera gestionar riesgos inherentes a la seguridad de la información y a las infraestructuras críticas, con el objetivo de cumplir con la normativa vigente en Uruguay. En tal sentido, es una herramienta de gran utilidad para mejorar el grado de madurez de los procesos de seguridad de la información y ciber seguridad en el sector financiero, como respuesta a las crecientes amenazas inherentes a la ciber delincuencia. Comenzando por la determinación de la necesidad de una política de seguridad de la información, la guía va especificando los EMGs vinculados con la Dirección de la Seguridad de la Información, el Marco de Gestión de Riesgos, la Auditoría Interna, la Función de la Seguridad de la Información separada de la Función de gestión de TI, y la Gestión del Plan de Continuidad y Continuidad del Negocio (tan importante este último particularmente durante la emergencia sanitaria). Para cada uno de estos elementos, se especifican conjuntamente los EMGs y cómo se vinculan a las categorías establecidas en el Marco de Ciberseguridad de AGESIC, así como también con el modelo de madurez que dicho marco define.

 

Al encontrarse basado en estándares y marcos de referencia reconocidos a nivel internacional (como por ejemplo el liberado por el Instituto Nacional de Estándares y Tecnología -NIST-, normas ISO 27000, COBIT 5 de ISACA), hace que sea relativamente sencilla su aplicación para entidades que ya se encuentren certificadas o alineadas bajo alguna de estas normativas. 

Las instituciones que ya cuentan con una estructura de gobierno de seguridad de la información, podrán adaptarlos fácilmente para su cumplimiento. Aquellas que aún se encuentren en la construcción de dichas estructuras  o que presenten dificultades presupuestarias o estructurales para su implementación, pueden contar con una guía que facilitará la comunicación y el entendimiento de los distintos aspectos relativos a la gobernanza de la seguridad de la información entre las distintas partes interesadas: Directorio, niveles gerenciales, auditores internos y externos y el propio organismo regulador.