Cargando...
EY

Economía y Empresas > ANÁLISIS EY

Actualización en los requerimientos para las Instituciones de Intermediación Financiera respecto a la seguridad de la información

La nueva Guía de los Estándares Mínimos de Gestión del Banco Central basada en el Marco de Ciberseguridad de AGESIC incorpora buenas prácticas y criterios de estándares internacionales, que las instituciones de intermediación financiera reguladas deberán adoptar

Tiempo de lectura: -'

04 de noviembre de 2021 a las 05:04

Por el Ing. José Luis Mauro Vera, MBA, CISA, CDPSE. Gerente Senior de Consultoría en EY Uruguay 
 
A partir del 31 de octubre de 2021 ha entrado en vigor la aplicación de la Guía de los Estándares Mínimos de Gestión relativos a la Seguridad de la Información, aplicable para las Instituciones de Intermediación Financiera reguladas por el Banco Central del Uruguay. Se trata de un paso importante hacia la mejora de los procesos de gestión de la Seguridad de la Información, en un sector cada vez más expuesto a las ciber amenazas. Cabe recordar algunos números que muestran el panorama vinculado con los riesgos de ciberseguridad a nivel global, a efectos de entender la necesidad de esta guía.
 
Según la “EY Global Information Security Survey” de 2021 (encuesta anual realizada a clientes a nivel mundial de EY sobre seguridad de la información), las empresas cuentan con un presupuesto muy limitado dedicado a la ciberseguridad (cerca del 0,05% de los ingresos), muy por debajo de la inversión dedicada a las tecnologías de la información  (TI). Al mismo tiempo, la pandemia ha traído consigo un aumento a la exposición de estos riesgos, debido al incremento del teletrabajo en las instituciones. En este sentido, existe una preocupación creciente a nivel organizativo, ya que el 77% de los encuestados notó aumentos en el número de ataques que implicaron la interrupción de  los servicios de TI. Por tal motivo, resulta razonable esperar en el sector financiero la misma preocupación a sus organismos reguladores, como lo es el Banco Central.
 
¿Qué son los Estándares Mínimos de Gestión del BCU?
Los Estándares Mínimos de Gestión (EMG) surgen bajo la necesidad del Banco Central del Uruguay de supervisar a las Instituciones de Intermediación Financiera desde el punto de vista de la calidad de su gestión y gobernanza. Dichos estándares son utilizados como punto de partida para evaluar y valorar los componentes de Gobierno Corporativo, situación económico-financiera, cómo la entidad gestiona los riesgos y cómo son gestionados los riesgos tecnológicos, la confiabilidad y la eficacia de los sistemas de información. A estos componentes se los conoce por la sigla “CERT” (Gobierno Corporativo, Situación Económico-Financiera, Riesgos y Tecnología). Si bien éstos han sido definidos hace varios años, existe una actualización de 2017 en la cual se han incorporado requerimientos específicos de Seguridad de la Información dentro de distintos EMGs, como forma de mitigar los riesgos tecnológicos vinculados al uso de tecnologías (propias o a través de proveedores externos). 

EY

 
¿Qué cambia con la Guía de EMG relativos a la Seguridad de la Información?
A nivel conceptual, la introducción de la guía no cambia el foco ni el alcance de los requerimientos estipulados en los EMGs. Sin embargo, resulta una evolución significativa desde el punto de vista de su vínculo con la cuarta versión del Marco de Ciberseguridad de AGESIC. Este marco ha sido fruto del trabajo de dicha agencia, orientado para cualquier organización que requiera gestionar riesgos inherentes a la seguridad de la información y a las infraestructuras críticas, con el objetivo de cumplir con la normativa vigente en Uruguay. En tal sentido, es una herramienta de gran utilidad para mejorar el grado de madurez de los procesos de seguridad de la información y ciber seguridad en el sector financiero, como respuesta a las crecientes amenazas inherentes a la ciber delincuencia. Comenzando por la determinación de la necesidad de una política de seguridad de la información, la guía va especificando los EMGs vinculados con la Dirección de la Seguridad de la Información, el Marco de Gestión de Riesgos, la Auditoría Interna, la Función de la Seguridad de la Información separada de la Función de gestión de TI, y la Gestión del Plan de Continuidad y Continuidad del Negocio (tan importante este último particularmente durante la emergencia sanitaria). Para cada uno de estos elementos, se especifican conjuntamente los EMGs y cómo se vinculan a las categorías establecidas en el Marco de Ciberseguridad de AGESIC, así como también con el modelo de madurez que dicho marco define.
 
Importancia de la aplicación del Marco de Ciberseguridad de Agesic
Al encontrarse basado en estándares y marcos de referencia reconocidos a nivel internacional (como por ejemplo el liberado por el Instituto Nacional de Estándares y Tecnología -NIST-, normas ISO 27000, COBIT 5 de ISACA), hace que sea relativamente sencilla su aplicación para entidades que ya se encuentren certificadas o alineadas bajo alguna de estas normativas. 
Las instituciones que ya cuentan con una estructura de gobierno de seguridad de la información, podrán adaptarlos fácilmente para su cumplimiento. Aquellas que aún se encuentren en la construcción de dichas estructuras  o que presenten dificultades presupuestarias o estructurales para su implementación, pueden contar con una guía que facilitará la comunicación y el entendimiento de los distintos aspectos relativos a la gobernanza de la seguridad de la información entre las distintas partes interesadas: Directorio, niveles gerenciales, auditores internos y externos y el propio organismo regulador.

Comentarios

Registrate gratis y seguí navegando.

¿Ya estás registrado? iniciá sesión aquí.

Pasá de informarte a formar tu opinión.

Suscribite desde US$ 245 / mes

Elegí tu plan

Estás por alcanzar el límite de notas.

Suscribite ahora a

Te quedan 3 notas gratuitas.

Accedé ilimitado desde US$ 245 / mes

Esta es tu última nota gratuita.

Se parte de desde US$ 245 / mes

Alcanzaste el límite de notas gratuitas.

Elegí tu plan y accedé sin límites.

Ver planes

Contenido exclusivo de

Sé parte, pasá de informarte a formar tu opinión.

Si ya sos suscriptor Member, iniciá sesión acá

Cargando...