Nuevo Reglamento de Seguridad Cibernética y de la Información

Artículos

Aspectos Legales de Mayor Interés para las Entidades de Intermediación Financiera sobre el Nuevo Reglamento de Seguridad Cibernética y de la Información

El pasado 27 de noviembre del 2018, la Junta Monetaria aprobó el Reglamento sobre Seguridad Cibernética y de la Información (el Reglamento), mediante el cual se procura mantener “la integridad, disponibilidad y confidencialidad de la información, el funcionamiento óptimo de los sistemas de información y de la infraestructura tecnológica, y la adopción e implementación de prácticas para la gestión de riesgos de la seguridad cibernética y de la información”.

Este Reglamento es de aplicación para las entidades de intermediación financiera (EIF), los administradores y participantes del Sistema de Pagos y Liquidación de Valores (SIPARD), los participantes de los sistemas de pagos y de liquidación que componen dicho sistema, y las entidades de apoyo y servicios conexos interconectadas con las EIF y con el SIPARD.

Lo primero que tenemos que abordar en este artículo es qué se interpreta como seguridad cibernética en la República Dominicana. Y, de acuerdo a este Reglamento, el concepto se refiere a la protección de la información, en todos sus formatos, durante el almacenamiento, trasmisión y procesamiento de la misma a través del ciberespacio. Por su parte, seguridad de la información se define como la protección de los sistemas de información y de la información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados.

En este contexto, el reglamento que nos ocupa ha establecido una serie de obligaciones que, en el caso específico de las EIF, implica idear una estructura gerencial y funcional que se compone de los elementos y características que, de manera general, mencionaremos a través de los próximos párrafos.

  • Comité Funcional de Seguridad Cibernética y de la Información.- Órgano que debe reportar de manera directa al Consejo de Administración (el Consejo). Debe ser dirigido por “un alto ejecutivo” de la entidad, y debe también ser designado expresamente por el Consejo para estas funciones. El ejecutivo que dirija este Comité no podrá desempeñar funciones en las unidades funcionales y en las áreas especializadas de tecnología de la información de la entidad. Además, no puede asumir las funciones de dirección del Comité la persona que asuma el rol de Oficial de Seguridad Cibernética y de la Información.

Un dato importante a destacar es que el Reglamento permite que las labores de este nuevo Comité pueden ser asumidas por el Comité de Gestión de Riesgos de las entidades que, por su tamaño, estructura, y características particulares, así lo requieran.

Entre las principales funciones del Comité Funcional de Seguridad Cibernética y de la Información, resaltamos las siguientes:

  • Diseñar los lineamientos funcionales de seguridad cibernética y de la información, y el mantenimiento del Programa de Seguridad Cibernética y de la Información, en consonancia con los objetivos estratégicos de la entidad, determinados por el Consejo.
  • Someter al Consejo las políticas del Programa de Seguridad Cibernética y de la Información, para su aprobación.
  • Evaluar la efectividad del Programa de Seguridad Cibernética y de la Información, en consonancia con los objetivos estratégicos de la entidad.
  • Ratificar las decisiones de tratamiento de riesgo, en coordinación con las áreas pertinentes de negocio, previamente presentadas por el Oficial de Seguridad Cibernética y de la Información.
  • Comunicar al Consejo los resultados de sus valoraciones sobre los aspectos de seguridad cibernética y de la información.
  • Unidad Funcional de (y sus áreas especializadas) A cargo del Oficial de Seguridad Cibernética y de la Información (dirige el Programa)
  • Rol del Consejo:
    • Revisar la estructura a medida que cambien las estrategias, para verificar su idoneidad e independencia de las áreas de negocios, tecnologías de la información y operaciones.
    • Aprobar las políticas del Programa, previo sometimiento del Comité Funcional.
  • Oficial de Seguridad Cibernética y de la Información: Contar con la competencia y la capacidad requerida para la implementación de El Programa. Sus funciones requieren la “suficiente jerarquía” que aseguren que cuenta con la “autoridad e independencia necesarias para cumplir con sus responsabilidades”. Debe, además, reportar al “principal ejecutivo” de la entidad (o a quien éste expresamente designe).
  • Puede ser cualquier ejecutivo, siempre que no pertenezca al área de tecnología de la información de la entidad. Sus funciones deben ser compatibles con los trabajos que le asigna el Reglamento.
  • Ser miembro del Comité Funcional
  • Llevar la agenda concerniente a los aspectos de SC y SI del Comité Funcional, en calidad de Secretario de dicho comité.
  • Reportar periódicamente al Equipo de Respuestas a Incidentes de Seguridad Cibernética y de la Información (CSIRT) un informe de situación de la infraestructura tecnológica bajo su supervisión y cualquier otra información que le sea requerida por el mismo.

Funciones del Oficial:

  • Desarrollar, implementar y mantener actualizado el Programa de Seguridad Cibernética y de la Información.
  • Implementar las políticas, estándares y procedimientos apropiados para apoyar el Programa de Seguridad Cibernética y de la Información.
  • Asignar las responsabilidades de los miembros que conforman las áreas especializadas.
  • Gestionar las acciones para el tratamiento del riesgo tecnológico en coordinación con las áreas pertinentes del negocio, previa aprobación del comité funcional de seguridad cibernética y de la información.
  • Cumplir con los límites de los niveles de riesgo tecnológico relevantes establecidos por el consejo relacionados con amenazas o incidentes de Seguridad Cibernética y de la Información.
  • Definir y evaluar las responsabilidades de los proveedores en lo concerniente a la Seguridad Cibernética y de la Información de los servicios provistos.
  • Áreas Especializadas: Áreas operativas y funcionales, responsables de la ejecución del Programa. Estarán bajo la dependencia del Oficial. Conformadas por personal técnico con la competencia y capacidad requeridas y con las funciones y responsabilidades definidas. Contar con recursos necesarios para garantizar la adecuada gestión del Programa. Cada unidad debe estar liderada por un profesional designado por el Oficial.

En caso de que el Comité Funcional sea asumido por el Comité de Riesgos, las Áreas Especializadas deberán estar bajo la supervisión del encargado de la Unidad de Gestión Integral de Riesgos.

________________________________________________________________________

  • Programa de Seguridad Cibernética y de la Información: Comprende las políticas, estrategias, procesos y actividades que las entidades deben documentar, desarrollar e implementar, a fin de cumplir las disposiciones y requerimientos establecidos en este Reglamento.
  1. Gestión del Riesgo Tecnológico.-

Evaluar y tratar adecuadamente los riesgos tecnológicos en sus sistemas de información e infraestructura tecnológica, desde su concepción, desarrollo e implementación, incluyendo entornos y procesos internos, en función del análisis de amenazas, vulnerabilidades, controles, impacto, y apetito de riesgo establecido por cada entidad, y del alcance de dichas evaluaciones.

Metodología:

La gestión de estos riesgos debe llevarse a cabo a través de metodologías estructuradas que contemplen la identificación de las amenazas y vulnerabilidades tecnológicas, la probabilidad de ocurrencia y el posible impacto previsto a las operaciones del negocio para determinar el riesgo potencial.

Elementos a tomar en consideración en las evaluaciones:

  • Divulgación no autorizada de información
  • Corrupción accidental o deliberada
  • Manipulación de la información
  • Disponibilidad de los entornos en cualquier período
  1. Marco de Control:

Políticas: deber de implementar y mantener una política general, o varias políticas segregadas, que contemplen los aspectos, procesos y procedimientos para la gestión de la seguridad cibernética y de la información. Estas políticas se deben promover para conocimiento de todos los empleados de la entidad.

III. Relación con Colaboradores: Incorporar en los contratos las responsabilidades generales y específicas de la SCI, por el tiempo de vigencia de los mismos. Deberán firmar un documento formal que establezca estas responsabilidades.

Cultura de SCI: promover una cultura de SCI, que contemple lo siguiente:

El establecimiento de programas continuos de sensibilización sobre el rol de los colaboradores en la Seguridad Cibernética y de la Información, el uso correcto de los sistemas de información e infraestructura tecnológica, y la gestión de sus riesgos a través de los programas de inducción, cápsulas informativas, boletines, charlas concernientes a la seguridad y cualquier otro mecanismo de notificación hábil.

La definición de las responsabilidades de los colaboradores relacionados con la Seguridad Cibernética y de la Información en todos los niveles de la organización.

La instauración de programas continuos de capacitación técnica dirigidos a los colaboradores responsables de la Seguridad Cibernética y de la Información.

La provisión de los recursos adecuados para apoyar la efectividad de los programas continuos de sensibilización de Seguridad Cibernética y de la Información.

Aunado a lo anterior, el citado Reglamento ordena a las EIF a mantener los controles y supervisiones necesarias de cara al acceso de sus empleados/colaboradores a los sistemas de información e infraestructura tecnológica de la entidad. Esto se persigue a través del establecimiento de distintos límites para los accesos, así como también asignar las autorizaciones correspondientes a cada acceso.

El literal f del artículo 34 ordena a las entidades a implementar los debidos controles técnicos en los dispositivos personales que utilicen los colaboradores en la red de la entidad, los cuales deben contar con las autorizaciones y mecanismos de seguridad de lugar.

La Gestión de los Activos.-

El artículo 19 del Reglamento describe el esquema que deben contemplar las EIF para la gestion de los activos de información de la entidad.

En este sentido, lo primer es el deber de clasificar los activos, de acuerdo a los niveles de confidencialidad y sensibilidad que presente la información. Así, la información sensible que se encuentre resguardada en formato físico, deberá estar protegida contra su corrupción, pérdida o divulgación no autorizada. Por igual, los sistemas informáticos y los equipos de infraestructura tecnológica deben ser registrados en un repositorio. Asimismo, los documentos deben ser manejados de manera sistemática y estructurada, durante todo el ciclo de vida de los documentos en cuestión.

En cuanto a las Aplicaciones.-

Las EIF deben implementar los controles de seguridad que permitan la protección de las aplicaciones que las mismas utilicen, e naras de procurer que se cumplan los requisites de confidencialidad, integridad y disponibilidad de la información que establece el Reglamento.

Políticas de Privacidad.-

El artículo 21 indica que debe incluirse, en los contratos suscritos entre las EIF y sus clientes, las cláusulas que especifiquen las políticas relativas a la privacidad de la información y datos de carácter personal “utilizados en sus productos y servicios”. El Reglamento aclara que estas políticas deben contener el desglose del uso que la entidad que reciba los datos dará a dichos datos. Además, las políticas sobre privacidad de las informaciones deben ser “divulgadas a través de medios físicos o electrónicos”.

Backup.- El Reglamento ordena a realizar copias de las informaciones y datos de manera regular, procurando que los mismos se encuentren conservados, conforme su grado de utilidad, en aras de que puedan ser consultados/restaurados en el tiempo.

  • Gestión de Identidad: Establecer un proceso de gestión de identidad, para proporcionar una administración de perfiles de usuarios eficaz y coherente con la identificación, autenticación y mecanismos de control de acceso.
  • Protección contra la Fuga de Información: Se establecerán mecanismos de protección contra la fuga de información a los sistemas, infraestructura tecnológica y entornos locales que procesan, almacenan o transmiten información sensible.

Continuidad de las Operaciones.- Se debe contar con un esquema interno que procure la continuidad de las operaciones tecnológicas de la entidad ante “incidentes de seguridad cibernética y de la información que puedan afectar significativamente las operaciones normales del negocio”. Esto incluye la instalación de equipos y sistemas alternativos para estos casos, procesos de respuestas ante crisis, planes de continuidad de los negocios, planes de recuperación ante desastres, pruebas de estrés, entre otros.

Cumplimiento con el Estándar PCI-DSS.-

El artículo 45 del Reglamento establece una serie de objetivos que deben acatar las EIF de cara al cumplimiento de este estándar internacional.

Se creó el Consejo Sectorial para la Respuesta a Incidentes de Seguridad Cibernética del sector financiero, el cual está conformado por los siguientes miembros con voz y voto: Gobernador del Banco Central, Superintendente de Bancos, Superintendente del Mercado de Valores, Contralor del Banco Central, Subgerente de Sistemas e Innovación Tecnológica del Banco Central, Presidente de la Asociación de Bancos (ABA), Presidente de la Liga de Asociaciones de Ahorros y Préstamos (LIDAAPI), y Presidente de la Asociación de Bancos de Ahorro y Crédito y Corporaciones de Crédito (ABANCORD). Existen otros miembros que pueden participar con voz pero sin voto.

  • Relación con la Ley 53-07 sobre Crímenes y Delitos de Alta Tecnología.-

Tiene por objeto la protección integral de los sistemas que utilicen tecnologías de información y de comunicación, y su contenido. En este marco, la ley penaliza y sanciona los delitos cometidos contra estos sistemas “o cualquiera de sus componentes”, y también se penalizan y sancionan los delitos que se cometen en perjuicio de terceros, a través de las tecnologías de información y comunicación.

Entre los crímenes y delitos contra la confidencialidad, integridad y disponibilidad de la información que consagra esta ley, se destacan los siguientes: violación de los códigos de acceso a los sistemas, clonación de dispositivos de acceso a los sistemas, acceso ilícito a los sistemas, explotación ilegítima de acceso inintencional a los sistemas, utilización o comercialización de dispositivos fraudulentos, alteración de datos, sabotaje, obtención ilícita de fondos, estafa, robo de identidad, chantaje.

* Publicado en Revista País Dominicano Temático, agosto 2019

Artículos Relacionados
Menú