Aspectos legales de mayor interés para las entidades de intermediación financiera sobre el nuevo Reglamento de Seguridad Cibernética y de la Información.

El pasado 27 de noviembre del 2018, la Junta Monetaria aprobó el Reglamento sobre Seguridad Cibernética y de la Información (el Reglamento), mediante el cual se procura mantener “la integridad, disponibilidad y confidencialidad de la información, el funcionamiento óptimo de los sistemas de información y de la infraestructura tecnológica, y la adopción e implementación de prácticas para la gestión de riesgos de la seguridad cibernética y de la información”. Este Reglamento es de aplicación para las entidades de intermediación financiera (EIF), los administradores y participantes del Sistema de Pagos y Liquidación de Valores (SIPARD), los participantes de los sistemas de pagos y de liquidación que componen dicho sistema, y las entidades de apoyo y servicios conexos interconectadas con las EIF y con el SIPARD. Lo primero que tenemos que abordar en este artículo es qué se interpreta como seguridad cibernética en la República Dominicana. De acuerdo al citado Reglamento, el concepto se refiere a la protección de la información, en todos sus formatos, durante el almacenamiento, trasmisión y procesamiento de la misma a través del ciberespacio. Por su parte, seguridad de la información se define como la protección de los sistemas de información y de la información contra el acceso, uso, divulgación, interrupción, modificación o destrucción no autorizados. En este contexto, el Reglamento que nos ocupa ha establecido una serie de obligaciones que, en el caso específico de las EIF, implica idear una estructura gerencial y funcional que se compone de los elementos y características que, de manera general, mencionaremos a través de los próximos párrafos.

Aspectos de gobernabilidad

Comité funcional de seguridad cibernética y de la información: Es el órgano que debe reportar de manera directa al Consejo de Administración (el Consejo). Debe ser dirigido por “un alto ejecutivo” de la entidad, y debe también ser designado expresamente por el Consejo para estas funciones. El ejecutivo que dirija este Comité no podrá desempeñar funciones en las unidades funcionales y en las áreas especializadas de tecnología de la información de la entidad. Además, no puede asumir las funciones de dirección del Comité la persona que asuma el rol de Oficial de Seguridad Cibernética y de la Información. Un dato importante a destacar es que el Reglamento permite que las labores de este nuevo Comité puedan ser asumidas por el Comité de Gestión de Riesgos, en las entidades que, por su tamaño, estructura y características particulares, así lo necesiten.

Un dato importante a destacar es que el Reglamento permite que las labores de este nuevo Comité puedan ser asumidas por el Comité de Gestión de Riesgos.

Entre las principales funciones del Comité Funcional de Seguridad Cibernética y de la Información, resaltamos las siguientes:

• Diseñar los lineamientos funcionales de seguridad cibernética y de la información, y el mantenimiento del Programa de Seguridad Cibernética y de la Información, en consonancia con los objetivos estratégicos de la entidad, determinados por el Consejo;

• Someter al Consejo las políticas del Programa de Seguridad Cibernética y de la Información, para su aprobación;

• Evaluar la efectividad del Programa de Seguridad Cibernética y de la Información, en consonancia con los objetivos estratégicos de la entidad;

• Ratificar las decisiones de tratamiento de riesgo, en coordinación con las áreas pertinentes de negocio, previamente presentadas por el Oficial de Seguridad Cibernética y de la Información;

• Comunicar al Consejo los resultados de sus valoraciones sobre los aspectos de seguridad cibernética y de la información.

Unidad funcional de seguridad cibernética y de la información: Es el órgano que, en conjunto con las áreas especializadas que se encuentren bajo su mandato, y dirigida por el Oficial de Seguridad Cibernética y de la Información, dirige el Programa de Seguridad Cibernética y de la Información de la entidad, luego de que ha sido debidamente aprobado por el Consejo de Administración.

Oficial de seguridad cibernética y de la información: En cuanto a la cualificación de esta nueva figura, el Reglamento señala que el mismo debe contar con la competencia y la capacidad requerida para la implementación del Programa de Seguridad Cibernética y de la Información. En tal sentido, sus funciones requieren la “suficiente jerarquía” que permita asegurar que el mismo cuenta con la “autoridad e independencia necesarias” para cumplir con sus responsabilidades. En este contexto, el Oficial debe reportar directamente al “principal ejecutivo” de la entidad (o a quien éste expresamente designe). En adición a lo anterior, el Reglamento objeto del presente artículo enumera las características que debe cumplir el ejecutivo que ocupe esta posición en la entidad:

• Puede ser cualquier ejecutivo, siempre que no pertenezca al área de tecnología de la información de la entidad. Sus funciones deben ser compatibles con los trabajos que le asigna el Reglamento.

• Debe ser miembro del Comité Funcional de Seguridad Cibernética y de la Información.

• Debe llevar la agenda concerniente a los aspectos de seguridad cibernética y de la información del citado Comité Funcional, en calidad de Secretario de dicho comité.

• Debe reportar periódicamente al Equipo de Respuestas a Incidentes de Seguridad Cibernética y de la Información (CSIRT) un informe de situación de la infraestructura tecnológica bajo su su
pervisión pervisión, así como cualquier otra información que le sea requerida por el CSIRT.

Entre las principales funciones del Oficial de Seguridad Cibernética y de la Información, se destacan las siguientes:

• Desarrollar, implementar y mantener actualizado el Programa de Seguridad Cibernética y de la Información;

• Implementar las políticas, estándares y procedimientos apropiados para apoyar el Programa de Seguridad Cibernética y de la Información;

• Asignar las responsabilidades de los miembros que conforman las áreas especializadas;

• Gestionar las acciones para el tratamiento del riesgo tecnológico en coordinación con las áreas pertinentes del negocio, previa aprobación del Comité Funcional de Seguridad Cibernética y de la Información;

• Cumplir con los límites de los niveles de riesgo tecnológico relevantes establecidos por el Consejo relacionados con amenazas o incidentes de seguridad cibernética y de la información;

• Definir y evaluar las responsabilidades de los proveedores en lo concerniente a la seguridad cibernética y de la información de los servicios provistos.

Áreas especializadas: Se refiere a las áreas operativas y funcionales que son responsables de la ejecución del Programa de Seguridad Cibernética y de la Información, y que forman parte de la Unidad Funcional anteriormente mencionada. Tanto la Unidad como las Áreas Especializadas están bajo la dependencia del Oficial de Seguridad Cibernética y de la Información. Ciertamente, las áreas especializadas deben estar conformadas por personal técnico con la competencia y capacidad requeridas, y además deben tenerse sus funciones y responsabilidades debidamente definidas en las políticas internas. En igual sentido, deben contar con los recursos necesarios para garantizar la adecuada gestión del Programa. Sobre este punto, el Reglamento de Seguridad Cibernética y de la Información señala que, en el caso de que el Comité Funcional sea asumido por el Comité de Riesgos, de la entidad las Áreas Especializadas deberán encontrarse bajo la supervisión del encargado de la Unidad de Gestión Integral de Riesgos.

Rol del Consejo: Sin perjuicio de todas las demás facultades y responsabilidades que descasan sobre el Consejo de Administración de la EIF en cuanto a la mitigación de los riesgos, y específicamente de los riesgos de seguridad cibernética y de la información, el Reglamento en cuestión le asigna las siguientes tareas:

• Revisar la estructura de prevención a la que se refiere este Reglamento, a medida que cambien las estrategias de la entidad, con el fin de verificar su idoneidad e independencia de las áreas de negocios, tecnologías de la información y operaciones.

• Aprobar las políticas del Programa de Seguridad Cibernética y de la Información, previo sometimiento del mismo por parte del Comité Funcional de Seguridad Cibernética y de la Información.

Programa de seguridad cibernética y de la información

El Reglamento lo define como el conjunto de políticas, estrategias, procesos y actividades que las entidades deben documentar, desarrollar e implementar, a fin de cumplir con todas las disposiciones y requerimientos establecidos en el Reglamento.

Las áreas especializadas deben estar conformadas por personal técnico con la competencia y capacidad requeridas.

Gestión del Riesgo Tecnológico: Como parte del desarrollo e implementación del Programa, las EIF deben “evaluar y tratar adecuadamente” los riesgos tecnológicos en sus sistemas de información e infraestructura tecnológica, desde su concepción, desarrollo e implementación. Esto incluye los entornos y procesos internos, en función de los resultados del análisis de las amenazas, vulnerabilidades, controles, impacto, y apetito de riesgo establecido por la EIF, y del alcance que arrojen estas evaluaciones. En cuanto a la metodología que utilizará la EIF para la gestión de estos riesgos, indica el Reglamento que la misma debe enfocarse en identificar las amenazas y vulnerabilidades tecnológicas en la entidad, la probabilidad de ocurrencia de las mismas y su posible impacto en las operaciones del negocio “para determinar el riesgo potencial”. Para todo lo anterior, la entidad debe ponderar los siguientes elementos en las evaluaciones que efectúe en este contexto: la divulgación no autorizada de información; la corrupción accidental o deliberada; la manipulación de la información; y la disponibilidad de los entornos en cualquier período. Marco de control: Como parte de la elaboración e implementación de un Programa de Seguridad Cibernética y de la Información efectivo, el Reglamento señala que las EIF deben desarrollar una política general, o varias políticas segregadas, que contemplen los aspectos procesos y procedimientos para la gestión de la seguridad cibernética y de la información en la entidad. Es importante destacar que todos los empleados de la EIF deben conocer las políticas que, en este tenor, emita la entidad.

A través de este Reglamento, se ha creado el Consejo Sectorial para la Respuesta a Incidentes de Seguridad Cibernética del sector financiero.

Relación con colaboradores: Aunado a lo anterior, la norma en cuestión establece que, en los contratos que se suscriban entre la EIF y sus colaboradores, deben incluirse las cláusulas de responsabilidades relativas a la seguridad cibernética y de la información. En este sentido, se especifica que este compromiso puede materializarse, para las relaciones ya existentes, a través de un documento formal que describa estas responsabilidades. Cultura empresarial: En igual tenor que el anterior, se establece que la entidad debe promover, a lo interno de la misma, una cultura general de seguridad cibernética y de la información. Esta cultura debe, específicamente, orientarse de la siguiente manera:

• Establecer programas continuos de sensibilización sobre el rol de los colaboradores en esta materia, el uso correcto de los sistemas de información e infraestructura tecnológica, y la gestión de sus riesgos a través de los programas de inducción, cápsulas informativas, boletines, charlas concernientes a la seguridad, y cualquier otro mecanismo de notificación hábil;

• Definir las responsabilidades de los colaboradores relacionados con la seguridad cibernética y de la información, en todos los niveles de la entidad;

• Instaurar programas continuos de capacitación técnica dirigidos a los colaboradores responsables de la seguridad cibernética y de la información;

• Proveer los recursos que permitan apoyar la efectividad de los programas continuos de sensibilización de seguridad cibernética y de la información a todos los empleados de la entidad.

Aunado a lo anterior, es preciso resaltar que el citado Reglamento ordena a las EIF a mantener los controles y supervisiones necesarios de cara al acceso de sus empleados/colaboradores a los sistemas de información e infraestructura tecnológica de la entidad. Esto se persigue a través del establecimiento de distintos límites para los accesos, así como también mediante la asignación de las autorizaciones correspondientes a cada acceso. Por igual, el literal f del artículo 34 indica que la entidad tiene debe implementar los debidos controles técnicos en los dispositivos personales que utilicen sus empleados/colaboradores en la red de la EIF, controles que deben contar con las autorizaciones y mecanismos de seguridad de lugar.

Gestión de los activos: El artículo 19 del mencionado Reglamento describe el esquema que deben contemplar las EIF para la gestión de los activos de información de la entidad. En este sentido, el primer paso contemplado sería clasificar los activos de acuerdo a los niveles de “confidencialidad y sensibilidad” que presente la información. Así, la “información sensible” que se encuentre resguardada en un formato físico, deberá estar protegida contra su corrupción, pérdida o divulgación no autorizada. Por igual, los sistemas informáticos y los equipos de infraestructura tecnológica deben ser “registrados en un repositorio”. Asimismo, los documentos deben ser manejados de manera “sistemática y estructurada”, durante todo el ciclo de vida de los documentos en cuestión.

Aplicaciones: Se observa la obligación de implementación de controles de seguridad orientados a la protección de las aplicaciones que las EIF utilicen, en aras de procurar que se cumplan los requisitos de confidencialidad, integridad y disponibilidad de la información que establece el Reglamento.

Políticas de privacidad: Este Reglamento ha establecido que, en los contratos suscritos entre las EIF y sus clientes, deben incluirse cláusulas que obliguen al cumplimiento de las políticas de la entidad relativas a la privacidad de la información y los datos de carácter personal que son aplicadas al uso de los productos y servicios.

Resguardo: Se establece la obligación de realizar copias de las informaciones y datos de manera regular, con el fin de que los mismos se encuentren conservados, “conforme su grado de utilidad”, y puedan ser consultados y/o restaurados en el tiempo.

Continuidad de las operaciones. Aunado a todo lo anterior, las EIF deben contar con un esquema interno que procure la continuidad de las operaciones tecnológicas de la entidad ante “incidentes de seguridad cibernética y de la información que puedan afectar significativamente las operaciones normales del negocio”. Esto incluye la instalación de equipos y sistemas alternativos para estos casos, procesos de respuestas ante crisis, planes de continuidad de los negocios, planes de recuperación ante desastres, pruebas de estrés, entre otros. Cumplimiento con el estándar de seguridad de datos para la industria de tarjetas de pago (PCI-DSS “Payment Card Industry Data Security Standard”). El Reglamento de Seguridad Cibernética y de la Información desarrolla, en su artículo 45, una serie de objetivos que deben acatar las entidades de intermediación financiera, de cara al cumplimiento de este estándar internacional.

Finalmente, cabe destacar que, a través de este Reglamento, se ha creado el Consejo Sectorial para la Respuesta a Incidentes de Seguridad Cibernética del sector financiero, el cual está conformado por los siguientes miembros, con voz y voto: Gobernador del Banco Central, Superintendente de Bancos, Superintendente del Mercado de Valores, Contralor del Banco Central, Subgerente de Sistemas e Innovación Tecnológica del Banco Central, Presidente de la Asociación de Bancos (ABA), Presidente de la Liga de Asociaciones de Ahorros y Préstamos (LIDAAPI), y Presidente de la Asociación de Bancos de Ahorro y Crédito y Corporaciones de Crédito (ABANCORD). Existen otros miembros que pueden participar, con voz, pero sin voto