Sector financiero contará con nueva regulación en materia de ciber seguridad

Debido al auge de los canales electrónicos y al incremento de los riesgos cibernéticos, la Superintendencia Financiera de Colombia impartirá nuevas instrucciones en complemento de las relacionadas con la administración de los riesgos operativos y la seguridad de la información.

En 2007, la Superintendencia Financiera de Colombia (SFC) expidió la circular externa 052, que ayudó a desarrollar dentro de las entidades financieras la seguridad y la calidad de la información. Han pasado más de 10 años desde aquel entonces y con ello se han dado múltiples modificaciones a aquella circular, que hoy es preocupación en materia de cumplimiento.

El sector bancario en Colombia es vanguardista en el desarrollo de la transformación digital y de la ciberseguridad. Para el Experto de Digiware, Rímel Fraile, esto se debe, por un lado, a las condiciones cambiantes del mercado que hacen que el sector desarrolle nuevas estrategias para desarrollar servicios financieros basados en tecnología; y por otro lado, a la alta regulación que existe en el sector bancario colombiano, con el fin de garantizar el desarrollo económico del país, prevenir el lavado de activos y asegurar la confianza que los consumidores han puesto en su entidad.

En los últimos 10 años, el desarrollo tecnológico ha avanzado de manera importante. La forma como el sector financiero presta sus servicios a sus clientes ha cambiado. Un ejemplo sencillo es que hoy en día son menos las oficinas de las entidades, y más las aplicaciones móviles que prestan los mismos servicios. “En la actualidad, a diferencia de hace 10 años, el sector financiero se enfrenta a un mercado de crimen organizado que ha puesto sus recursos y motivaciones en el robo y venta de información, y lo han evolucionado ‘utilizando también la transformación digital’ para el desarrollo de actividades delictivas como el secuestro de información e infraestructura”, afirma Fraile.

Según el experto, hay que entender que actualmente el panorama de riesgos y amenazas es diferente, y consciente de ello, la Superintendencia Financiera de Colombia (SFC) tiene la intención de desarrollar una nueva regulación que permita afrontar este nuevo escenario. “Esta nueva circular establece unos requisitos puntuales sobre el gobierno de la seguridad de la información y la ciberseguridad, y da un apoyo importante, crucial, y muy necesitado, a todos aquellos responsables de la materia para que puedan aspirar a un presupuesto independiente y exclusivo”, aseguró.

Además, según el Director Ejecutivo de Digiware, Andrés Galindo Ortegón, esta regulación hace un guiño a la transformación digital y a esa necesidad que tienen todos los responsables de la seguridad en la participación e inclusión temprana a todos los proyectos que tiene una organización, (…donde se establezca el cuidado y diligencia que debe acompañar estos procesos de innovación). “Es una realidad que la transformación digital ha traído una cantidad de proyectos tecnológicos en simultáneo, para lo cual coloquialmente se puede decir ‘no son suficientes las manos’ de los responsables de la seguridad para atender esa demanda”.

Los aspectos relativos a la sensibilización, capacitación y actualización cobran importancia también, y toma detalle en la participación de la alta dirección y de los terceros. Esto apenas es natural dado que el panorama tecnológico y de ciber amenazas cambia constantemente; dando un claro mensaje, inclusive a los terceros: “la ciber seguridad es un tema que le compete a toda la organización”, advierte Galindo.

Otro aspecto que destacar es la cooperación, colaboración y reporte a los centros de respuesta de incidentes y autoridades, lo cual se espera que sea una herramienta importante para combatir el cibercrimen, que genera pérdidas millonarias en todo el mundo. De hecho, según el último informe realizado por Ponemon Institute e IBM, el costo total promedio de una violación de datos en los EE. UU alcanzó el récord de $7.35 millones de dólares en 2017, en todas las industrias, cifra 5% más alta que la de 2016.

En Colombia, según el informe “Impacto de los incidentes de Seguridad Digital en Colombia 2017” realizado por la OEA, MinTIC y el BID; existe un número grande de empresas con costos relativos a la pérdida de propiedad intelectual por encima de los $325 millones de pesos colombianos: cerca de 10% de las empresas, donde el 3% presentaron pérdidas a la propiedad intelectual de más de COP $4.000.000.000.

En lo que respecta al sector financiero, el costo de las infracciones a nivel mundial fue de $336 millones de dólares durante el 2017, lo que representa un aumento del 49%, respecto al 2016, según el último reporte de Ponemon Institute e IBM. Además, según el estudio publicado en 2017 por la compañía internacional experta en seguridad informática, Kaspersky, un incidente cibernético puede llegar a costarle a una entidad bancaria hasta 1.8 millones de dólares.

Claramente el reto está en que las entidades financieras desarrollen su actual capacidad de identificar, reaccionar y contener un ciberataque de manera oportuna y exitosa, entendiendo que la capacidad de los ciberdelincuentes cada vez es mayor y sofisticada. Y es que, según Asobancaria, el cibercrimen deja ganancias en el mundo por 575 mil millones de dólares al año, una cifra igual o similar a la que obtiene el narcotráfico. El evaluar la conveniencia de contar con un SOC podría no ser suficiente, y para Galindo, es ahí donde la circular acierta, aplicando términos como ‘eficacia y eficiencia de la gestión’ para garantizar la mejora continua.

“Otro aspecto relevante y que a mi juicio no se ha desarrollado en la región, es ‘contar con un seguro que cubra los costos asociados a ataques cibernéticos’. Es un llamado al mismo sector para que desarrolle servicios encaminados a transferir el riesgo, y se esperaría que no solo fuera un tema del sector regulado, sino que pueda ser desarrollado para cualquier sector y así, dar viabilidad, tranquilidad y confianza en el desarrollo de la economía digital del país”, recomienda Rimel Fraile.

Los requisitos orientados a la resiliencia de la organización se hacen evidentes en esta nueva circular, puesto que el sector financiero es una infraestructura crítica, y en consecuencia, resulta innecesario mencionar lo importante que es para el desarrollo económico del país.