Empresas deben reportar a la SBS ataques de hackers
Publican resolución que reglamenta medidas de ciberseguridad
La Superintendencia de Banca, Seguros y AFP (SBS) dispuso que las empresas del sector financiero que cuenten con presencia en el ciberespacio deben mantener, con carácter permanente, un programa de ciberseguridad (PG-C) aplicable a las operaciones, procesos y otros activos de información asociados.
Así lo establece la Resolución SBS N° 504-2021, publicada en el boletín de Normas Legales del diario oficial El Peruano, que busca evitar los ataques de hackers y todo tipo de sustracción ilegal de información digital de las empresas.
La norma también indica compañía debe reportar a la SBS en cuanto advierta la ocurrencia de un incidente de ciberseguridad que presente un impacto adverso significativo verificado o presumible de: la pérdida o hurto de información de la empresa o de clientes, fraude interno o externo, impacto negativo en la imagen y reputación de la empresa, y la interrupción de operaciones.
El programa de ciberseguridad debe prever un diagnóstico y un plan de mejora sobre capacidades de ciberseguridad, para lo cual debe seleccionar un marco de referencia internacional sobre la materia, que le permita la identificación de los activos de información, protección frente a las amenazas a los activos de información, detección de incidentes de ciberseguridad, respuesta con medidas que reduzcan el impacto de los incidentes y la recuperación de las capacidades o servicios tecnológicos que pudieran ser afectados.
VULNERABILIDADES
Además, la empresa debe efectuar un análisis forense para determinar las causas del incidente y adoptarlas medidas para su gestión. El informe resultante de dicho análisis debe estar a disposición de la SBS y que debe tener un contenido ejecutivo y también el detalle técnico correspondiente.
La empresa debe hacer los arreglos necesarios para contar con la información que le permita tomar acción oportuna frente a las amenazas de ciberseguridad y para el tratamiento de las vulnerabilidades.
También se establece el intercambio de información relativa a ciberseguridad mediante acuerdos con otras empresas del sector o con terceros que resulten relevantes, de forma bipartita, colectiva o gremial, para lo cual definirán los criterios pertinentes.
