sábado, 26 de enero de 2019

La Superintendencia Financiera de Colombia ha expedido recientemente la Circular Externa 007 de 2018 (la “Circular”) referente a los requerimientos mínimos para la gestión de riesgo de ciberseguridad en las entidades vigiladas.

Esto va direccionado a proteger la información de los consumidores financieros, especialmente teniendo en cuenta la acogida que han tenido los productos y servicios financieros digitales. La Circular busca igualmente tener en cuenta las nuevas tecnologías que permiten mayor interconectividad entre diferentes agentes y la masificación de los canales electrónicos para desarrollar nuevas instrucciones relacionadas con la administración de riesgos operativos y de protección de la información.

Entre las medidas particulares que establece la Superintendencia Financiera, se encuentra aquella de informar a los consumidores financieros y a la alta dirección de las entidades vigiladas y de los proveedores de información (salvo aquellos exceptuados por la Circular) sobre los incidentes que ocurran en relación con los mecanismos de seguridad cibernética y sobre todo frente a aquellos incidentes que comprometan la confidencialidad o integridad de la información de los consumidores financieros. Igualmente, establece que las capacitaciones a los funcionarios encargados de los protocolos y administración del riesgo operativo deberán ser periódicas teniendo en cuenta los rápidos cambios que ocurren en el sector tecnológico.

Asimismo, la Circular introduce definiciones como lo es el Security Operation Center (“SOC”) que es la unidad centralizada encargada de monitorear, evaluar y defender los sistemas de información empresarial (sitios web, aplicaciones, bases de datos, centros de datos, servidores, redes, escritorios y otros dispositivos). Se establece entonces que la entidad tiene la obligación de determinar, mediante un análisis integral de riesgo operativo, si debe contratar o no un SOC que podrá ser manejado desde el exterior. Este tipo de sistemas, por sus características y modelos de funcionamiento que no son enteramente desmaterializados tecnológicamente, sino que implican en algunos casos el monitoreo constante de personal físico, representan un alto costo operativo para las entidades que los llegasen a implementar. Este aspecto no parece ser tenido en cuenta por la Circular y plantea una duda respecto de los altos costos operativos que tendrán que evaluar nuevas entidades emergentes en el sector financiero como lo son las sociedades de financiación de colaborativa.

Se entiende entonces que si bien la Superintendencia Financiera es consciente de los diferentes mecanismos para el manejo de la información y procura integrar los diferentes conceptos que nacen de la mano con las nuevas tecnologías en sus lineamientos, desde la supervisión, aún no se tienen en cuenta los mecanismos de almacenamiento de información enteramente desmaterializados como lo es la tecnología de la nube, cuyos protocolos de seguridad y monitoreo tienen implicaciones distintas y en algunos casos más costo-eficientes.