¿Sabías que los requisitos de autenticación entran en vigor el 1 de julio 2022?
La pandemia, la creciente interconectividad y el incremento del uso de canales digitales para la provisión de los servicios, así como la virtualización de algunos productos del sistema financiero, de seguros y privado de pensiones, hace necesario que las empresas de dichos sistemas supervisados fortalezcan su sistema de gestión de ciberseguridad.
Publicada el 19 de febrero de 2021 la Resolución SBS N°504-2021, mediante la cual se aprobó el Reglamento para la Gestión de la Seguridad de la Información y la Ciberseguridad, actualizó la normativa sobre gestión de seguridad de la información, tomando en cuenta los estándares y buenas prácticas internacionales sobre seguridad de la información, entre los que se encuentran los publicados por el NIST y la familia de Normas ISO/IEC.
El sistema de gestión de seguridad de la información y ciberseguridad (SGSI-C) es el conjunto de políticas, procesos, procedimientos, roles y responsabilidades, diseñados para identificar y proteger los activos de información, detectar eventos de seguridad, así como prever la respuesta y recuperación ante incidentes de ciberseguridad.
Los riesgos de ciberseguridad deben ser permanentemente vigilados ya que los cambios antes mencionados, determinan que estos varíen en forma muy dinámica.
El reglamento establece, entre otros aspectos, niveles de aplicación y responsabilidades, por ejemplo, para la gerencia general.
El año pasado se les exigió a las empresas presentar a la Superintendencia, en un plazo que no mayor de sesenta (60) días calendario a partir del día siguiente de la publicación de la resolución, un plan de adecuación al Reglamento de la SBS, que estuviera aprobado por el directorio, incluyendo:
a) un diagnóstico preliminar de la situación existente en la empresa;
b) las acciones previstas para la total adecuación al Reglamento;
c) los funcionarios responsables del cumplimiento de dicho plan; y,
d) un cronograma de adecuación.
Estas disposiciones entraron en vigencia el 1 de julio de 2021.
En el 2022, la normativa dispone que las empresas deban implementar procesos de autenticación, conforme a la definición establecida en el Reglamento, para controlar el acceso a los servicios que provea a sus usuarios por canales digitales.
¿Qué se debe de tener en cuenta para la implementación?
a) El o los factores de autenticación que serán requeridos.
b) Estándares criptográficos vigentes, basados en software o en hardware, y sus prestaciones de confidencialidad o integridad esperadas.
c) Plazos y condiciones en las que será obligatorio requerir al usuario volver a autenticarse, lo que incluye y no se limita a casos por periodo de inactividad o sesiones de uso prolongado de sistemas.
d) Línea base de controles de seguridad de la información requerida para prevenir las amenazas a que esté expuesto el proceso de autenticación, lo que incluye, y no se restringe, al número límite de intentos fallidos de autenticación, la prevención de ataques de interceptación y manipulación de mensajes.
e) Lineamientos para la retención de registros de auditoría para la detección de amenazas conocidas y eventos de seguridad de la información.
Dichos requisitos de autenticación entran en vigor el 1 de julio de 2022.
Toda la información necesaria se encuentra en: https://intranet2.sbs.gob.pe/dv_int_cn/2046/v2.0/Adjuntos/504-2021.R.pdf
Datasec presente en Perú se encuentra certificada ISO 27001, con amplia experiencia en aplicación y apoyo de la ciberseguridad, puede ayudarlo.
