Apuntes sobre la normativa de seguridad en la información y ciberseguridad

Jorge Antonio Machuca Vilchez
Posted by Jorge Antonio Machuca Vilchez 19 septiembre, 2022
Business, Technology, Internet and network concept. Labor law, Lawyer, Attorney at law, Legal advice concept on virtual screen.
  1. INTRODUCCIÓN

El impacto económico de la COVID – 19 en el Perú fue significativo. En efecto, más allá de cualquier evidencia empírica, ya se cuenta con información estadística sobre el particular. Según cifras del Banco Central de Reserva del Perú (BCRP), el COVID-19 generó la disminución del Producto Bruto Interno (PBI), habiéndose registrado en el 2020 una contracción del -11,0%, explicado por la reducción del consumo de las familias, la caída de la inversión bruta fija y el comportamiento negativo de las exportaciones de bienes y servicios (Banco Central de Reserva del Perú, 2020).

Aunque actualmente la COVID -19 se encontraría en una etapa final, vale la pena reflexionar en torno a cómo en el interín las empresas han sabido adaptarse a este flagelo, el cual demandaba que las personas y empresas emplearan la digitalización en los pagos para optimizar su oferta, al ofrecer mecanismos que eviten las aglomeraciones y el  contacto en sus transacciones.  Así, ha sido fundamental el desarrollo de canales digitales tales como banca por internet (operaciones bancarias que se realizan en la página web de una entidad financiera, a través de una computadora conectada a la red internet), banca móvil (Permite realizar una serie de transacciones financieras de forma remota mediante aplicativos en un dispositivo móvil), dinero electrónico (Dinero almacenado en soportes electrónicos, tales como teléfonos móviles o tarjetas prepago, los cuales se encuentran asociados a una cuenta de dinero electrónico cuyo titular es el contratante), billetera digital (Aplicación móvil vinculada a una cuenta de ahorro del titular que permite realizar pagos y cobros, sin necesidad de efectivo o tarjetas) y pagos a través de POS (dispositivos que facilitan el pago en establecimientos mediante el uso de una tarjeta de débito o de crédito, sin necesidad de portar efectivo) y QR (códigos de respuesta rápida (QR), conocidos también cómo códigos de barra en 2D, permiten realizar pagos mediante un dispositivo móvil, sin necesidad de efectivo ni tarjeta de débito o crédito), entre otros.

Dicha adaptación funcionó muy bien en nuestro país, a tal punto que en un contexto de crisis sanitaria por la COVID-19, el Perú se posicionó como uno de los países de la región con mayor crecimiento en el volumen procesado por medio de pagos digitales (663%) en el 2020; mientras que Colombia creció 441% y Chile 234% (El Peruano, 2021).

Sin embargo, no todo han sido buenas noticias. Los fraudes digitales experimentaron un crecimiento antes y durante la pandemia. Así, según el Diagnóstico situacional multisectorial sobre la ciberdelincuencia en el Perú realizado en el año 2020 por el Consejo Nacional de Política Criminal, el incremento de número de denuncias por ciberdelitos recibidas por la División de Investigación de Delitos de Alta Tecnología (DIVINDAT) de la Policía Nacional del Perú: en el año 2015 se recibieron 1007 denuncias; en el año 2016 se recibieron 1228 denuncias; en el año 2017 se recibieron 1985 denuncias; en el año 2018 se recibieron 2878 denuncias; y, en el año 2015 se recibieron 3012 denuncias (CNPC, 2020). En el año 2020 el número de denuncias se incrementó a 4162 (El Peruano, 2021). Sin duda, esta tendencia en ascenso se experimenta en el 2021 y 2022.

En ese sentido, el objetivo del presente artículo es revisar la normatividad que se ha emitido en torno al problema de la falta de seguridad de la información y la ciberdelincuencia en el Perú, realizando además un análisis en torno a si dicha normativa mitigaría o no dichos fraudes.

2. DESARROLLO

La Superintendencia de Banca, Seguros y AFP es la entidad responsable del control y la supervisión de las entidades financieras que operan en el mercado. En ese sentido, con fecha 19 de febrero de 2021 emitió la Resolución SBS n° 504-2021,   Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad (En adelante, el Reglamento), el cual detalla dos (02) instrumentos que las empresas del sistema financiero deben implementar para los efectos de mitigar fraudes: i) Sistema de gestión de seguridad de la información y ciberseguridad; y, ii) Programa de ciberseguridad. A continuación ampliaremos en relación a cada uno.

2.1.Sistema de gestión de seguridad de la información y ciberseguridad

El artículo 2 del Reglamento define ciberseguridad como la protección de los activos de información mediante la prevención, detección, respuesta y recuperación ante incidentes que afecten su disponibilidad, confidencialidad o integridad en el ciberespacio; el que consiste a su vez en un sistema complejo que no tiene existencia física, en el que interactúan personas, dispositivos y sistemas informáticos. La vulneración de dichos activos impacta, sin duda, en los usuarios, vale decir, las personas naturales o jurídicas que utilizan o pueden utilizar los productos ofrecidos por las empresas.

En ese sentido, la normatividad vigente exige que las empresas del sistema financiero implementen un sistema de gestión de seguridad de la información y ciberseguridad (en adelante, SGSI-C), un conjunto de políticas, procesos, procedimientos, roles y responsabilidades, diseñados para identificar y proteger los activos de información, detectar eventos de seguridad, así como prever la respuesta y recuperación ante incidentes de ciberseguridad.

El SGSI-C implica, cuando menos, los siguientes objetivos:

  • Confidencialidad: La información sólo es disponible para entidades o procesos autorizados, incluyendo las medidas para proteger la información personal y la información propietaria;
  • Disponibilidad: Se debe asegurar acceso y uso oportuno a la información;
  • Integridad: Se debe asegurar el no repudio de la información y su autenticidad, y evitar su modificación o destrucción indebida.

La norma prevé además que el SGSI-C de la empresa deba ser proporcional al tamaño, la naturaleza y la complejidad de sus operaciones. Ello resulta razonable, en la medida que no todas las empresas tienen el mismo volumen de clientes y, por tanto, el costo que deben asumir para mitigar el riesgo a sus clientes debe ser también diferenciado.

Otro aspecto relevante de la norma es que tanto el Directorio como la gerencia general de la empresa se encuentran comprometidos legalmente a optimizar el funcionamiento del SGSI-C. Ello, sin duda, resulta una práctica óptima que el regulador financiero viene adoptando en distintas regulaciones novedosas, a fin que las empresas no tomen los temas nuevos o ajenos al eje del negocio por poco importantes.

La norma prevé que los objetivos del SGSI-C sean los siguientes:

  • Identificar los activos de información, analizar las amenazas y vulnerabilidades asociadas a estos, y formular programas y medidas que busquen reducir la posibilidad de incidentes en los siguientes aspectos:
  • El diseño e implementación de nuevos productos y procesos, proyectos y cambios operativos.
  • Las obligaciones de seguridad de la información que se derivan de disposiciones normativas, normas internas y de acuerdos contractuales.
  • Las relaciones con terceros, en el sentido más amplio, incluyendo proveedores de servicios y empresas con las que se tiene relaciones de subcontratación, 
  • Cualquier otra actividad que, a criterio de la empresa, exponga sus activos de información por causa interna o externa;
  • Revisar periódicamente el alcance y la efectividad de los controles y contar con capacidades de detección, respuesta y recuperación ante incidentes de seguridad de la información; y,
  • Establecer la relación existente con los planes de emergencia, crisis y de continuidad establecidos según lo previsto en la normativa correspondiente.

Finalmente, se dispone que las empresas deben adoptar las siguientes medidas mínimas de seguridad de información, las cuales recaen en nueve (09) puntos álgidos de la organización de las entidades financieras:

  1. Seguridad de los recursos humanos: Las empresas deben protocolos de seguridad de la información aplicables en el reclutamiento e incorporación del personal, ante cambio de puesto y terminación del vínculo laboral. Ello, en la medida que pueden ser vulnerables a través del ingreso de personas inescrupulosas cuya verdadera intención no es trabajar en la empresa, sino acceder y perjudicar sus sistemas.
  2. Controles de acceso físico y lógico: Las empresas deben prevenir el acceso no autorizado a la información, así como a los sistemas, equipos e instalaciones mediante los cuales es procesada, transmitida o almacenada, sea de manera presencial o remota. Ello, en la medida que pueden ser vulnerables si es que dejan que su información sea de fácil acceso.
  3. Seguridad en las operaciones: Las empresas deben asegurar y prevenir el funcionamiento continuo de las instalaciones de procesamiento, almacenamiento y transmisión de información. Ello, en la medida que pueden ser vulnerables cuando existe la canalización de la información durante sus operaciones.
  4. Seguridad en las comunicaciones: Las empresas deben implementar y mantener la seguridad de redes de comunicaciones acorde a la información que por ella se trasmite y las amenazas a las que se encuentra expuesta. Ello, en la medida que pueden ser vulnerables durante la canalización de información en sus comunicaciones.
  5. Adquisición, desarrollo y mantenimiento de sistemas: Las empresas deben implementar y mantener la seguridad en los servicios y sistemas informáticos acorde a la información que procesen y amenazas a las que se encuentren expuestas. Ello, en la medida que pueden ser vulnerables al ataque al hardware que posee.
  6.  Gestión de incidentes de ciberseguridad: Las empresas deben implementar procedimientos para la gestión de incidentes de ciberseguridad. Ello, en la medida que deben implementar mecanismos que permitan una reacción óptima y célere frente a los ataques que pueda recibir.
  7. Seguridad física y ambiental: Las empresas deben gestionar controles para evitar el acceso físico no autorizado, daños o interferencias a la información o instalaciones de procesamiento de la empresa. Ello, en la medida que pueden ser vulnerables al ingreso de agentes a sus instalaciones, quienes podrían tener la intención de perjudicarlas.
  8. Criptografía: Las empresas deben utilizar criptografía para asegurar la confidencialidad, autenticidad e integridad de su información, tanto cuando los datos asociados están en almacenamiento como si se encuentran en transmisión. Ello, en la medida que pueden ser menos vulnerables si es que codifican la información.
  9. Gestión de activos de información: Se entiende por “activos de información” la información o soporte en que reside en la empresa, los cuales son gestionados de acuerdo con las necesidades de negocios y los requerimientos legales, de manera que puede ser entendida, compartida y usada. En ese sentido, es importante identificar los activos de información mediante un inventario, asignar su custodia, establecer lineamientos de uso aceptable de ellos y la devolución al término del acuerdo por el que se proporcionó. 

Es importante recalcar que la implementación del SGSI-C  cuenta con un régimen simplificado, a fin de poder realizar, cuando las dimensiones de la entidad lo ameritan, actividades mínimas, aunque con una periodicidad por lo menos anual.

2.2.Programa de ciberseguridad

En segundo lugar, la norma dispone que toda empresa que cuente con presencia en el ciberespacio debe mantener, con carácter permanente, un programa de ciberseguridad (en adelante, PG-C) aplicable a las operaciones, procesos y otros activos de información asociados.

El PG-C debe prever un diagnóstico y un plan de mejora sobre sus capacidades de ciberseguridad, para lo cual debe seleccionar un marco de referencia internacional sobre la materia, que le permita cuando menos lo siguiente: i) Identificación de los activos de información; ii) Protección frente a las amenazas a los activos de información; iii) Detección de incidentes de ciberseguridad; iv) Respuesta con medidas que reduzcan el impacto de los incidentes; y, v) Recuperación de las capacidades o servicios tecnológicos que pudieran ser afectados.

En virtud de ello, la empresa debe reportar a la Superintendencia de Banca, Seguros y AFP, en cuanto advierta la ocurrencia de un incidente de ciberseguridad que presente un impacto adverso significativo verificado o presumible de:

  • Pérdida o hurto de información de la empresa o de clientes.
  • Fraude interno o externo.
  • Impacto negativo en la imagen y reputación de la empresa.
  • Interrupción de operaciones.

CONCLUSIONES

En armonía con lo expuesto, se considera que el regulador financiero ha abordado la problemática de la falta de seguridad de la información y la ciberdelincuencia en el Perú a través de la expedición de la Resolución SBS n° 504-2021, la cual sin duda goza de un enfoque moderno, toda vez que en lugar de centrarse en atender las consecuencias del problema, se enfoca, conforme se ha apreciado en el presente artículo, en la mitigación de riesgos. Es decir, el abordaje de esta problemática busca ser exante y no expost.

No obstante lo señalado, es preciso indicar que la referida resolución entró en vigencia el 1° de julio de 2021, habiendo precisado la norma que su auditoría será efectuada a partir del ejercicio 2022. Por lo tanto, sus efectos en el mercado, específicamente la comprobación de si efectivamente el índice de fraudes digitales se reduce, deberá esperar. Se considera al respecto que en el futuro se podrá deducir el impacto de esta norma.

REFERENCIAS

Jorge Antonio Machuca Vilchez
Jorge Antonio Machuca Vilchez
Mirar más artículos
Magíster en Derecho Bancario y Financiero (PUCP). Diplomado en Derecho de Consumo por la Universidad de Castilla – La Mancha. Egresado de la Escuela Profesional de Literatura de la Universidad Nacional Mayor de San Marcos. Docente en la Escuela de Postgrado de la Universidad Pacífico, Universidad Privada del Norte (UPN) y en el IFB. Actual Director de Iuris Dictio (2016 - a la fecha).