Para nadie es novedad el proceso de transformación por el que está atravesando el sector financiero a nivel mundial, y nuestro país no es la excepción. Esta transformación ofrece muchos beneficios, tales como una mayor conectividad entre las entidades financieras y sus clientes. Y, también, implica nuevos riesgos, principalmente aquellos asociados a la ciberseguridad.
Estos eventos pueden ocasionar interrupciones en el negocio y operaciones fraudulentas, así como afectar la privacidad de la información de los clientes; lo que a su vez puede generar pérdidas económicas y afectar la reputación de las empresas. Estas situaciones pueden generar la desconfianza de los usuarios en su entidad financiera y en el sector en el que opera, afectándose la estabilidad del sistema en su conjunto; por lo que es necesario no solo tomar medidas que lo prevengan, sino estar preparados para responder y recuperarse.
En este marco, la Superintendencia de Banca, Seguros y AFP (SBS), con el apoyo del Banco Mundial, organizó el “Taller sobre gestión de ciberseguridad”, el pasado 29 de mayo, que contó con la participación de representantes de los sistemas financiero, de seguros y privado de pensiones, así como del Banco Central de Reserva (BCR), de la Superintendencia del Mercado de Valores (SMV) y de nuestra Superintendencia.
Durante este taller, especialistas internacionales expusieron acerca de los recientes desarrollos y amenazas en materia de ciberseguridad; los principales marcos jurídicos, regulatorios y de la industria que han surgido en respuesta al ciberiesgo; la ciberseguridad en el sistema de pagos; experiencias sobre la respuesta y recuperación ante incidentes de ciberseguridad; y, los desafíos asociados a la privacidad y protección de datos personales.
Las principales conclusiones estuvieron referidas a que la adecuada gestión del ciberiesgo, empieza por reconocer la amenaza que representa y que no se trata de un tema que se restringe a sus aspectos tecnológicos, sino que, por el contrario, requiere de la atención de los mayores niveles de decisión de las empresas y de los reguladores.
Del mismo modo, el taller dejó como lección la necesidad de seguir fortaleciendo los marcos existentes para la gestión de los servicios subcontratados, con el fin de asegurar que estas subcontrataciones se realicen y desarrollen en entornos seguros, en los que los riesgos que pudieran amenazar la seguridad de la información de las empresas y sus clientes se encuentren apropiadamente gestionados.
Adicionalmente, se resaltó la importancia de afinar algunos controles existentes, entre los cuales se encuentran: la revisión de las políticas de logs de auditoría para asegurar que esta información se resguarde por tiempo suficiente; el asegurar la ejecución de pruebas de restauración periódicas, así como el cifrado y anonimato de la información sensible, donde ello se identificara como necesario; y, limitar el uso de USB y de servicios para compartir información en la nube.
En lo que se refiere a la protección de datos personales, se concluyó que aún es necesario desarrollar y lograr mayor precisión en este tema; siendo uno de los principales aspectos por desarrollar, aquel referido a los mecanismos a través de los cuales los usuarios otorgan su consentimiento para el uso de sus datos personales.
Finalmente, se resaltó que la colaboración es un elemento clave para hacer frente a los crecientes desafíos asociados a la ciberseguridad; resaltándose no solo la importancia de la colaboración entre la entidades que forman el sistema financiero, sino también entre los reguladores de esta industria de distintas jurisdicciones, y con los reguladores de otras industrias que son elementales para el desarrollo de las actividades financieras.