La Superintendencia de Banca, Seguros y AFP (SBS), mediante Resolución N° 504-2021 con fecha 19 de febrero de 2021, aprobó el Reglamento para la gestión de seguridad de la información y ciberseguridad, el cual tiene por objetivo requerir a las empresas que cuenten con un entorno seguro y confiable para la provisión de productos y servicios a sus usuarios; y, que les permita estar preparadas frente al incremento de los riesgos asociados a la seguridad de la información producto del creciente avance en las tecnologías, la mayor interconectividad entre las empresas y el auge de la transformación digital.

Principales medidas

El Reglamento establece responsabilidades específicas para reforzar las funciones del directorio, la gerencia, comité de riesgos y la función de seguridad de la información y ciberseguridad. Asimismo, define tres niveles de proporcionalidad: régimen general, simplificado y reforzado, cuya aplicación guarda correspondencia con el tamaño, naturaleza y complejidad de sus operaciones.

Niveles de proporcionalidad

Para el régimen general, establece que las empresas deben contar con un plan estratégico de seguridad de la información y de ciberseguridad que prevea: (1) analizar las amenazas y vulnerabilidades en los activos; (2) asegurar los controles de seguridad, y desarrollar capacidades de detección, respuesta y recuperación ante incidentes de seguridad de la información; y, por último, (3) establecer la relación con los  planes de emergencia, crisis y de continuidad establecidos según lo previsto en la normativa correspondiente.   

Asimismo, desarrolla con mayor detalle las medidas de seguridad que requiere la Circular G-140-2009. Al respecto, uno de los cambios más importantes se presenta en las expectativas respecto a la gestión de incidentes de ciberseguridad, aspecto en que se precisa la conformación de un equipo multidisciplinario de manejo de incidentes de ciberseguridad y se establecen requisitos mínimos para su gestión. Adicionalmente, se incluyen lineamientos, entre los que destacan: el reporte interno de los incidentes de ciberseguridad; contar con acceso a la información de inteligencia de amenazas, vulnerabilidades e incidentes; establecer protocolos de respuesta y recuperación frente a incidentes; y, preservar evidencias que faciliten investigaciones forenses luego de la ocurrencia de incidentes de seguridad de la información.

De igual forma, existen requisitos específicos en materia de ciberseguridad, que incluye el desarrollo de un programa de ciberseguridad, el cual debe considerar un marco de referencia internacional que, como mínimo permita desarrollar las funciones de identificar, proteger, detectar, responder y recuperar para mejorar las capacidades existentes en materia de ciberseguridad. Además, precisa que la empresa debe reportar a la Superintendencia la ocurrencia de un incidente de ciberseguridad que presente un impacto adverso significativo verificado o presumible para los escenarios específicos indicados en el Reglamento. Del mismo modo, requiere que la empresa cuente con información que le permita tomar acción oportuna frente a las amenazas de ciberseguridad y para el tratamiento de las vulnerabilidades, ello inclusive formalizando acuerdos con otras empresas del sector o con terceros que resulten relevantes.

En lo referido al régimen simplificado, requiere la planificación y ejecución de actividades mínimas de seguridad con periodicidad anual; mientras que para el régimen reforzado, se indica la obligación de velar por la efectividad del sistema de gestión de seguridad de la información y someterlo, periódicamente, a una evaluación independiente.

Por otro lado, el Reglamento señala requisitos aplicables a la autenticación en canales digitales; en particular, prevé establecer obligaciones mínimas para una autenticación reforzada en operaciones que podrían generar perjuicio para los usuarios. Adicionalmente, establece requerimientos para la provisión de servicios por terceros, incluido los servicios de nube.

El Reglamento entrará en vigencia el 1 de julio de 2021, excepto los requisitos de autenticación, que será el 1 de julio de 2022. Es preciso indicar, que las empresas en marcha deben presentar un plan de adecuación aprobado por el directorio, en un plazo no mayor de sesenta (60) días calendario contados a partir del día siguiente de la publicación de la Resolución.