• Modificar
    página:
  • A-
  • A+
Leer

Seguridad de la información y ciberseguridad: fortaleciendo los procesos de autenticación en beneficio de los usuarios de los sistemas supervisados

La creciente adopción de canales digitales permite realizar operaciones de manera más rápida; pero, también implican eventuales riesgos que requieren fortalecer las medidas de seguridad.

El Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, aprobado por la Superintendencia de Banca, Seguros y AFP (SBS) mediante Resolución N° 504-2020, exige a las entidades supervisadas (empresas financieras, compañías de seguros y AFP), entre otras medidas, la implementación de procesos de autenticación para controlar los accesos a los servicios que se provean a través de canales digitales y, con ello mejorar la confianza del usuario respecto al uso de estos.

La creciente adopción de canales digitales permite a los usuarios realizar operaciones de manera más rápida; no obstante, también los expone a eventuales riesgos, tales como la suplantación de identidad, fraudes, robo de información, entre otros. En ese sentido, el citado Reglamento, aprobado el pasado 19 de febrero del 2021, requiere que las empresas supervisadas fortalezcan las medidas de seguridad en los procesos de autenticación para acceder a servicios a través de canales digitales. En particular, estas disposiciones son exigibles a las empresas del régimen general; en cambio, para aquellas del régimen simplificado, solo aplica cuando permitan la realización de operaciones que podrían generar perjuicio para los usuarios por canal digital.

El proceso de autenticación permite verificar que un usuario, dispositivo o sistema informático es quien dice ser, mediante el uso de las credenciales que se le asignan previamente. Dicho proceso puede emplear uno, dos o más factores de autenticación independientes. A continuación, se muestran las categorías de dichos factores, así como algunos ejemplos.

Entre las medidas a considerar, previo a la implementación del proceso en mención, se encuentra la definición de aspectos como: los factores de autenticación a requerir; los plazos y condiciones para requerir que el usuario vuelva autenticarse, como por ejemplo periodo de inactividad; y, los controles de seguridad de la información para prevenir amenazas a las que dicho proceso podría estar expuesto. Cabe señalar, que el Reglamento exige la reevaluación de estos procesos para los casos en los que la tecnología utilizada no cuente con soporte técnico o cuando se descubran nuevas vulnerabilidades en los mismos.

Adicionalmente, previo a que un usuario pueda autenticarse, la empresa deberá efectuar el enrolamiento del mismo. En dicho proceso, se verifica su identidad utilizando, al menos, dos factores de autenticación independientes de categorías diferentes, y se generan y asignan las credenciales. Asimismo, es responsabilidad de la empresa, la gestión de dichas credenciales, lo que comprende contar con procedimientos para su activación, suspensión, reemplazo, renovación y revocación; además de, asegurar su confidencialidad e integridad.

Se debe precisar que el Reglamento exige una autenticación reforzada para aquellas acciones que pudieran generar operaciones fraudulentas u otro abuso del servicio que perjudique al usuario, tales como pagos o transferencias de fondos a terceros a través de canales digitales. Para ello, se requiere la utilización de, como mínimo, dos factores de autenticación independientes de categorías diferentes; la generación de un código de autenticación de único uso mediante métodos criptográficos; así como, la notificación al usuario de las operaciones exitosas ejecutadas. No obstante, estos requerimientos no son de aplicación para aquellas operaciones en las que el beneficiario esté registrado como beneficiario de confianza, o en los casos en los que el cliente y el beneficiario sean la misma persona. Adicionalmente, las operaciones con un riesgo de fraude bajo, producto de un análisis de riesgos, se encuentran exentas al requisito de autenticación reforzada por debajo del umbral por operación establecido por la empresa, entre otros requerimientos detallados en el Reglamento.

Por otro lado, el Reglamento señala las medidas de seguridad que deben aplicarse al uso de interfaces de programación de aplicaciones (API), que estén involucradas en la provisión de servicios para realizar operaciones, entre las que se incluyen el análisis de riesgos asociados y la implementación de medidas de mitigación; el cifrado de datos en almacenamiento o transmisión; prácticas de desarrollo seguro; y el análisis de vulnerabilidades y pruebas de penetración. Cabe precisar que deben documentarse las especificaciones técnicas de las API utilizadas.

Si bien el Reglamento entrará en vigencia el 1 de julio de 2021, los requisitos de autenticación tienen un plazo de adecuación hasta el 1 de julio del 2022.

Finalmente, debemos reiterar el compromiso de la SBS en prever que el proceso de transformación digital en las empresas y, consecuentemente, la provisión de servicios por canales digitales se efectúe en el marco de una adecuada gestión de los riesgos operacionales, y en particular, los asociados a la seguridad de la información.



Desea imprimir Boletin

Seguridad de la información y ciberseguridad: fortaleciendo los procesos de autenticación en beneficio de los usuarios de los sistemas supervisados, haz click en imprimir