SBS: ¿Qué plantea el proyecto de reglamento de seguridad de la información y ciberseguridad?

La SBS busca adecuar el marco normativo vigente sobre la seguridad de la información, a las exigencias propias de un entorno cada vez más dinámico e interconectado en el que se desenvuelven las entidades financieras, aseguradoras y AFP.

La Superintendencia de Banca, Seguros y AFP (SBS) publicó un proyecto de reglamento para la gestión de seguridad de la información y ciberseguridad, complementario al reglamento para la gestión del riesgo operacional, que actualiza los requisitos establecidos sobre seguridad de la información.

Con este proyecto, la SBS indicó que buscará adecuar el marco normativo vigente a las exigencias propias de un entorno cada vez más dinámico e interconectado en el que se desenvuelven las entidades financieras, aseguradoras y AFP, que implica una mayor exposición a ciber amenazas. Esto, según la superintendencia, requiere de mayores esfuerzos para mantener la seguridad en los servicios ofrecidos a los usuarios.

Nancy Yong, socia líder de servicios de gobierno corporativo, riesgo y cumplimiento de PwC Perú, indicó que han pasado 11 años desde la elaboración del primer reglamento para la gestión de seguridad de la información y ciberseguridad. “Han cambiado muchas cosas durante ese periodo y por ello, deben incorporarse las nuevas formas de hacer negocios, sobre todo en industrias como la del sistema financiero, donde el componente del impacto informático es muy importante”, agregó Yong.

“Este proyecto de la SBS propone alinear todo lo que significa la identificación de la gestión de la seguridad de información con el contexto actual. Este contexto podría estar agravado por la pandemia, ya que actualmente muchos están trabajando de manera remota, con lo cual el nivel de dependencia que hoy tenemos de la tecnología de la información es muy alta”, subrayó Yong.

A su turno, Alejandro Magdits, socio de consultoría de EY Perú, considera oportuno que se actualice y se amplíe la norma, sobre todo porque los medios informáticos y digitales se están usando más que en otras épocas como consecuencia de las medidas restrictivas dictadas ante el avance del coronavirus.

“Los ciberataques se han incrementado también de manera considerable en todo el mundo. Por tanto, es importante que todas las empresas recojan las propuestas de la SBS y revisen si es que están cumpliendo con ellas. No solamente para cumplirlas que es la aspiración más sencilla, sino también para mejorar o implementar algunas otras que les falten, con la finalidad de que se protejan adecuadamente, puedan prevenir incidentes, y eventualmente tengan la capacidad de responder frente a estos”, enfatizó Magdits.

PRINCIPALES PROPUESTAS

En detalle, el proyecto plantea el establecimiento de un marco para el sistema de gestión de seguridad de la información, la implementación de la autenticación en canales digitales, y la subcontratación de servicios de procesamiento de datos (incluyendo el procesamiento en la nube). Asimismo, propone la actualización e incorporación de requisitos en materia de seguridad de la información, asociados a la proporcionalidad de lo exigido.

Respecto al sistema de gestión de seguridad de la información, el proyecto indica que las empresas deberán contar con un plan estratégico que prevea el análisis de amenazas y vulnerabilidades de los activos de información, que atienda las necesidades de capacitación y difusión; y que garantice la ejecución de pruebas periódicas de seguridad.

También, las compañías deberán contar con un equipo especializado para el manejo de incidentes de ciberseguridad, cuya función será reportar dichos incidentes a la SBS y promover el intercambio de información de ciberseguridad con los organismos competentes.

Con relación a los requisitos de autenticación en canales digitales, se requiere que las empresas implementen procesos de autenticación, los que deben ser reevaluados cada vez que se presenten cambios en la tecnología que los soportan, o tras el descubrimiento de nuevas vulnerabilidades en la misma. También, se requiere una autenticación reforzada para aquellas operaciones que impliquen una transferencia de fondos, un pago, la solicitud de un trámite o la contratación de un producto o servicio, modificación de límites y condiciones en los que se proveen los servicios, y otros que pueden originar una operación fraudulenta o perjuicio del cliente.

En cuanto a la proporcionalidad en materia de seguridad de la información, el proyecto de reglamento desarrolla requisitos diferenciados en tres niveles.

El primer nivel, denominado “aplicación general”, requiere de medidas asociadas a la seguridad de información, autenticación, subcontratación del procesamiento de datos y ciberseguridad para bancos, financieras, cajas, aseguradoras, AFP, Banco de la Nación, emisores de dinero electrónico y empresas de transporte, custodia y administración de numerario.

El segundo nivel, llamado “simplificado”, comprende a empresas como las Edpyme, Fondo Mivivienda, Fogapi, Agrobanco, Cofide, Derramas y empresas de transferencias de fondos.

El tercer nivel, denominado “reforzado”, se dirige a las empresas más grandes y con operaciones más complejas sujetas a un requerimiento de patrimonio efectivo por riesgo de concentración de mercado, sin perjuicio de que la SBS incluya otras empresas, para las que se especifican requerimientos más exigentes.

Otras medidas propuestas tienen como propósito reforzar las responsabilidades para el directorio, la gerencia, el comité de riesgos y la función independiente de seguridad de la información y ciberseguridad.

Consejos de ciberseguridad para empresas con teletrabajo

La pandemia nos ha exigido a realizar cambios notables en nuestra rutina. Una de ellas es quedarnos en casa trabajando. Gracias a la tecnología, esta nos ha permitido a no descuidar nuestras labores y trabajar de manera remota.

Muchas organizaciones están planteando planes de continuidad comercial, lo cual garantiza a las empresas a mantener sus operaciones ante la adversidad. Para asegurar este plan, es necesario apoyar a los empleados. El teletrabajo es una de las estrategias más eficaces para aumentar la productividad y reducir costos. Sin embargo, eso significa también el incremento de riesgos potenciales de seguridad.

Al no tener supervisión, hay mayor probabilidad que los empleados ingresen a enlaces no seguros poniendo en riesgo la información de la empresa.

Para eso hay algunas recomendaciones. Por ejemplo, el filtrado de contenidos, visibilidad de las aplicaciones y configuración del tráfico. Se trata de otras tecnologías de seguridad cibernética que complementan el teletrabajo.

Otra recomendación es implementar soluciones de autenticación para garantizar que solo los usuarios autorizados tengan acceso información confidencial de la empresa.

Asimismo, promover una cultura cibersegura es esencial para prevenir cualquier tipo de ataque. Los colaboradores de la empresa deben ser consientes a este tipo de ataques y deben estar capacitados para prevenir cualquier tipo de riesgos.

¿Cuáles son las tácticas preferidas de los cibercriminales?

Hay diversos métodos de asalto en internet; sin embargo, hay métodos constantes y preferidos por los cibercriminales.
Estas son las armas preferidas por los cibercriminales:

Correos falsos de fiscalía

Son correos que aparentan provenir de entidades legítimas. Es una de las estrategias más usadas para robar datos. Este tipo de correos suelen venir personalizados y con enlaces de descarga. Atención a este tipo de mensajes, se recomienda no abrirlos y verificar el correo de procedencia.

«Malware» en móviles

Una de las estrategias más peligrosas. Los cibercriminales crean aplicaciones similares a otras utilizando códigos malignos. Esto para confundir al usuario y descargue la aplicación maligna pensando que era la que este deseaba. De este modo, pueden robar contraseñas, fotos, espiar e incluso hacer grabaciones sin que el usuario sé de que cuenta.

Redes wifi públicas

El acceso a wifi gratuito puede ser más peligroso de lo que pensábamos. Ingresar a una red wifi de una cafetería o restaurante es el gancho perfecto para permitir el acceso de los atacantes a tus datos.

Ransomware o «secuestro de datos»

Es otra de las técnicas más usadas y trata de secuestrar datos para pedir un rescate. Una recomendación es hacer copias de respaldo de la información de todos los dispositivos y no pagar el rescate.

¿Cómo funciona el cibercrimen y cómo se organiza?

El Perú es el país con mayor «secuestro de datos» de todo Latinoamérica. Los cibercriminales, autores de estos crímenes, tiene su propio sistema y organización para realizar sus fechorías.

Lamentablemente, el cibercrimen es un negocio ilegal muy bien organizado. Cada día encuentran nuevas formas de robar información y dinero. Es un negocio en el cual cientos de piezas actúan en forma sincronizada y generan a las empresas millonarias ganancias.

Especialistas en seguridad informática declaran que el cibercrimen se trata de un «crimen organizado»; forman su propio organigrama. Tienen una cabeza que organiza el trabajo en diversas áreas o departamentos: servicio técnico, infraestructura de red, distribución, servicios monetarios y esquemas de retiro de efectivo.

Está organización, cuenta con su propia área «creativa». Es decir, aquellos que se encargan de diseñar y programar los virus dispuestos a atacar cualquier sistema. Cuentan también con su propio distribuidor de programas malignos. Ellos se encargan de llevar los correos basura o spam hacia sus víctimas. Los famosos anuncios de «gana dinero sin hacer nada» son nada más y nada menos que malware.

Este sistema se encarga de reclutar miles de infectados para formar una base de datos, la cual les servirá para monetizar; es decir, obtener beneficios económicos.

Los cibercriminales cuentan con distintas tácticas para poder atacar tu sistema y robar tus datos. Según reportes y especialistas, en nuestro país aún falta mucho por mejorar en cuanto a medidas de seguridad. Por es mismo, recomiendan estar muy atentos a enlaces, spam o anuncios de dudosa procedencia.