Sale a consulta modificación al reglamento de tecnología para sector financiero

Ya está en consulta pública la propuesta de modificación del Reglamento General de Gobierno y Gestión de la Tecnología de Información.

El documento fue emitido por el Consejo Nacional de Supervisión de Sistema Financiero (Conassif) el 27 de noviembre y estará en consulta por 15 días hábiles.

De acuerdo con Daniel Rodríguez Maffioli, director de Derecho Digital de la firma Écija Legal, en el documento sobresalen 3 aspectos: la gran cantidad de obligaciones y responsabilidades que impone directamente al Órgano de Dirección (Juntas Directivas); la obligación de reportar incidentes de seguridad cibernética al regulador y a los clientes afectados, así como tener planes de respuesta, de recuperación, de resiliencia, entre otros; y las estrictas condiciones que exige para contratar proveedores de servicios de nube o cloud.

"En resumen, los miembros de Junta Directiva de las entidades financieras tendrán que involucrarse de lleno en el gobierno de TI, dedicar tiempo de sus sesiones al tema, y tomar una cantidad importante de decisiones, para lo cual necesariamente tendrán que capacitarse. Una decisión poco informada podría acarrearles a ellos y a la entidad, responsabilidades legales, económicas y reputacionales.

En cuanto a proveedores cloud, las entidades solo podrán contratar proveedores certificados con ISO 27001, 27017, 27018 o estándares similares. Además, los datos deben estar respaldados, cifrados y a disposición de la entidad en un sitio alterno. La relación, términos, contratos y arquitectura de la nube contratada debe estar documentada y a disposición de las Superintendencias", explica el especialista.

Además, señala otros elementos importantes que incluye la reglamentación:

• La inclusión del término "seguridad cibernética" separado del de "seguridad de la información", enfatizando los riesgos propios del ciberespacio.
• Las entidades deberán aprobar una Estrategia de Resiliencia Operativa Digital.
• Se deben tener y poner a prueba planes de respuesta, recuperación y atención de crisis ante incidentes de seguridad que repercutan en servicios o procesos críticos.
• Se deben instaurar anualmente Programas de Análisis de Vulnerabilidades (Vulnerability Disclosure Programs) y pruebas de penetración y testeos.
• Se tendrán que establecer planes de promoción de la cultura de ciberseguridad.
• Gobernanza de datos: Las entidades deberán identificar, clasificar y gobernar los activos informáticos, incluido el activo más importante: los datos.

"Sin duda, el reglamento provocará un cambio sustancial en el gobierno de TI y el tratamiento de la ciberseguridad por parte de las entidades financieras reguladas.

Cuanto antes comiencen a revisar las entidades sus procesos internos, su infraestructura, y a capacitar a su personal (empezando por las Juntas Directivas), más fluido será el proceso de adaptación a la nueva normativa", añade el experto.