Hoy en día resulta evidente el aumento de transacciones electrónicas que se puede realizar con los bancos, a través de casi cualquier dispositivo móvil, lo que a la par ha traído la sofisticación de la delincuencia que utiliza también mecanismos virtuales para apropiarse de la información necesaria para sustraer dinero de las cuentas de los clientes bancarios. Es en esta realidad virtual donde las medidas de ciberseguridad juegan un papel impostergable.

¿Qué es la ciberseguridad?

La ciberseguridad es el conjunto de prácticas, tecnologías y procesos diseñados para proteger los sistemas informáticos, redes, dispositivos y datos contra ataques digitales. Su objetivo principal es evitar accesos no autorizados, robos de información, interrupciones de servicios y otros daños causados por amenazas cibernéticas. 

¿Qué norma existe en el Perú sobre gestión de la seguridad de la información y ciberseguridad?

En Perú, la regulación clave en ciberseguridad para bancos es la Resolución N° 504-2021 de la SBS, que establece el Reglamento para la gestión de seguridad de la información y ciberseguridad. Esta resolución, emitida por la Superintendencia de Banca, Seguros y AFP (SBS), tiene por objetivo requerir a las empresas que cuenten con un entorno seguro y confiable para la provisión de productos y servicios a sus usuarios; y, que les permita estar preparadas frente al incremento de los riesgos asociados a la seguridad de la información producto del creciente avance en las tecnologías, la mayor interconectividad entre las empresas y el auge de la transformación digital.

¿A quién es aplicable la Resolución SBS N° 504-2021 Reglamento para la gestión de la seguridad de la información y la ciberseguridad?

Este reglamento es aplicable a todas las empresas que operan en el sistema financiero, de seguros y fondos de pensiones bajo la supervisión de la Superintendencia de Banca, Seguros y AFP (SBS), Banco de la Nación, Fondo Mi Vivienda, las Derramas y Cajas de Beneficios bajo control de la SBS y empresas corredoras de seguros.

¿Qué establece este reglamento para el régimen general?

Establece que las empresas deben contar con un plan estratégico de seguridad de la información y de ciberseguridad que prevea:

Analizar las amenazas y vulnerabilidades en los activos;

Asegurar los controles de seguridad, y desarrollar capacidades de detección, respuesta y recuperación ante incidentes de seguridad de la información; y, por último,

Establecer la relación con los planes de emergencia, crisis y de continuidad establecidos según lo previsto en la normativa correspondiente.

¿El Reglamento de ciberseguridad, en que aspectos establece que las empresas reguladas por la SBS, deben tomar, medidas de seguridad?

Seguridad de la información, que comprende:

• Seguridad de los recursos humanos
• Controles de acceso físico y lógico
• Seguridad de las operaciones
• Seguridad de las comunicaciones
• Adquisición, desarrollo y mantenimiento de sistemas
• Gestión de incidentes de ciberseguridad
• Seguridad física y ambiental
• Criptografía
• Gestión de activos de información

¿Desde cuando es aplicable el reglamento de ciberseguridad?

Si bien la Resolución N° 504-2021 de la SBS se emitió el 19 de febrero de 2021, otorgó un plazo para que las entidades del sistema financiero se adecuaran a los señalado en el reglamento, el cual venció el 1 de julio de 2022.

¿Qué medidas de seguridad establece este reglamento en el uso de canales digitales?

El artículo 18° del Reglamento de Ciberseguridad establece que las entidades del sistema financiero deben adoptar mecanismos de seguridad en el enrolamiento (afiliación) de un usuario a aun canal digital, debiendo estos mecanismos estar orientados mínimamente a la verificación de la identidad del usuario que solicita la operación y la generación de las respectivas credenciales del usuario respecto a la afiliación.

¿Qué medidas de seguridad se requieren para la validez de las operaciones realizadas por canal digital?

El artículo 19 del Reglamento de Ciberseguridad establece que, para la valides de operaciones por un canal digital que implique pagos o transferencias de fondos a terceros, la contratación de un producto, registro de un beneficiario de confianza, modificación de límites entre otros supuestos, se requiere que las entidades del sistema financiero adopten las siguientes acciones:

La utilización de, por lo menos, 2 factores de autenticación que correspondan a categorías distintas (algo que solo el usuario conoce, posee, o es lo que incluye características biométricas) y sean independientes uno del obro.

La generación de un código de autenticación mediante métodos criptográficos, cuyo uso debe ser por única vez

La notificación al usuario de los datos de la operación exitosa.

¿Qué exenciones a la aplicación de autenticación reforzada en operaciones efectuadas a través de canales digitales establece el Reglamento de ciberseguridad?

El artículo 20 del Reglamento de Ciberseguridad establece supuestos de exención:

Operaciones de pago, pagos periódicos o transferencia hacia un beneficiario de confianza, registrado previamente por el usuario.

Operaciones de pago, pagos periódicos o transferencia a cuentas en las que el cliente y el beneficiario sean la misma persona, sea natural o jurídica.

Operaciones de pago que presenten un nivel de riesgo de fraude bajo, cuya determinación debe ser sustentada por las entidades financieras.

Operaciones realizadas luego de que el usuario reportar el robo o pérdida de sus credenciales.

INDECOPI A TU SERVICIO