La Norma de control para la gestión del riesgo operativo de la Superintendencia de Bancos de Ecuador también especifica qué deben hacer las entidades financieras públicas y privadas que están bajo su vigilancia y control para gestionar la seguridad de la información y protegerla contra el uso, revelación y modificación no autorizados.
A continuación detallamos los puntos claves de esta norma relacionados con la gestión de la seguridad de la información, que debe estar basada en el estándar ISO 27000 y cumplir con las disposiciones legales y normativas vigentes en el país.
¿Qué es la seguridad de la información y qué se requiere para su gestión?
En las definiciones presentadas en la norma de Superbancos, la seguridad de la información es entendida como el “conjunto de medidas y técnicas que permiten la preservación de la confidencialidad, integridad y disponibilidad de la información e incluye aspectos relacionados con la seguridad informática y la ciberseguridad”.
Teniendo en cuenta esta definición, el artículo 25 de la norma dice que las entidades deben gestionar la seguridad de la información. Para hacerlo deben contar por lo menos con lo siguiente:
- Una definición clara de las funciones y responsables de las actividades de seguridad de la información para establecer, implementar, mantener y mejorar el sistema de gestión de seguridad de la información, según el tamaño y complejidad de la entidad.
- Un comité de seguridad de la información encargado de evaluar y supervisar el correcto funcionamiento del sistema de gestión de seguridad de la información.
Este comité debe estar conformado como mínimo por un miembro de la dirección, el representante legal y los funcionarios responsables de las áreas de riesgos y seguridad de la información. Las reuniones deben realizarse, al menos, trimestralmente.
- Un área independiente y especializada de seguridad de la información, que debe reportar a la máxima autoridad de la entidad.
Esta área debe cumplir funciones como: definir la estrategia de seguridad de la información, que debe estar alineada a la estrategia institucional; liderar el establecimiento, implementación, mantenimiento y mejora continua del sistema de gestión de seguridad de la información; y mantener la independencia de funciones de las áreas del negocio, tecnología, riesgos y auditoría.
- Un oficial responsable de la seguridad de la información.
Sobre el sistema de gestión de seguridad de la información - SGSI
El artículo 26 de la norma de la Superintendencia de Bancos indica que las entidades financieras públicas y privadas deben establecer, implementar, mantener y mejorar continuamente un sistema de gestión de seguridad de la información. Este sistema debe incluir los siguientes elementos:
- Alcance del sistema de gestión de seguridad de la información.
- Políticas, objetivos, procesos, procedimientos y metodologías de seguridad de la información que estén alineadas a los objetivos y actividades de la entidad. Todos estos elementos deben ser revisados y aceptados por el comité de seguridad de la información, además, ser aprobados por la dirección y ser difundidos y comunicados a todo el personal de la entidad para garantizar su cumplimiento.
Por otro lado, estos elementos deben ser revisados al menos una vez al año o cuando haya cambios significativos. Y la entidad debe garantizar los medios para las capacitaciones a los empleados y actualizaciones relacionadas con el sistema.
- Inventario de los activos de información según el alcance del sistema. Este inventario debe incluir datos como: valor en función de la pérdida, daño o deterioro que supone un riesgo para el logro de los objetivos de la entidad, requerimientos legales, propietario, custodio y ubicación.
- Designación de los propietarios de los activos de información, que tienen responsabilidades como: clasificar los activos de información y revisar periódicamente el inventario de estos para mantenerlo actualizado; definir y revisar las restricciones para el uso aceptable de la información y los accesos a los activos; y autorizar los cambios funcionales a las aplicaciones y modificaciones a la información con accesos directos a las bases de datos.
- Metodología de gestión de riesgos de seguridad de la información con la que se identifique el nivel de protección que requiere cada activo de información para preservar su confidencialidad, integridad y disponibilidad. Esta metodología debe tener en cuenta el apetito y tolerancia al riesgo definidas por la entidad.
- Plan de seguridad de la información para la implementación de los controles identificados y acciones de mejora.
- Información que permita verificar el cumplimiento de las políticas, procesos, procedimientos y controles establecidos para la gestión de la seguridad de la información en la entidad.
- Monitoreo del cumplimiento y efectividad de los controles establecidos mínimo cada seis meses, además, generar informes sobre esto para el comité.
- Evaluación, una vez al año, del desempeño del sistema de gestión de seguridad de la información. Aquí se deben tener en cuenta los resultados de auditorías de seguridad, gestión de incidentes, monitoreo de los controles, evaluaciones de riesgos, retroalimentación de las partes interesadas, entre otros aspectos. Tanto las evaluaciones como las acciones de mejora deben ser conocidas y aprobadas por el comité de seguridad de la información.
- Realización de auditorías externas, por lo menos una vez al año, para evaluar el sistema de gestión de seguridad de la información y ciberseguridad con el fin de identificar oportunidades de mejora y mitigar los riesgos que podrían afectar la confidencialidad, integridad y disponibilidad de la información.
Estas auditorías deben ser realizadas por personal independiente a la entidad y considerando estándares vigentes y reconocidos internacionalmente.
Sumado a todo lo anterior, para dar cumplimiento a la norma de Superbancos en cuanto a seguridad de la información, una buena práctica es contar con un software como Pirani y su sistema de gestión de seguridad de la información que permite a las entidades identificar y gestionar fácilmente sus activos de información y los riesgos a los que están expuestos para garantizar así su confidencialidad, integridad y disponibilidad. Conoce más y prueba gratis por 30 días nuestro sistema.