General

Avances y desafíos regulatorios de la ciberseguridad

La regulación en materia de ciberseguridad busca que las organizaciones adquieran las capacidades suficientes para hacer frente a los riesgos de ciberseguridad derivados de la exposición de las organizaciones en el entorno digital. Actualmente cada país cuenta con un conjunto de regulaciones en torno a la seguridad digital, más o menos heterogénea entre sí, que obedece a distintas realidades legales, económicas y sociales, así como a realidades de costo y oportunidad frente a la regulación[1].

 

Las primeras regulaciones asociadas a la seguridad digital se vincularon principalmente hacia la protección de datos, buscando proteger la información de personas y empresas de los cibercriminales. Este es el caso de la Data Protection Directive de 1995 para la Unión Europea, la cual se ha venido actualizando permanentemente. Otras regulaciones se enfocan sobre todo en la Infraestructura Crítica Cibernética[2], siendo el caso de los lineamientos implementados por ENISA (European Union Agency for Network and Information Security) de la mano con los estados europeos[3].

 

Avances significativos en materia de judicialización del cibercrimen en Estados Unidos fueron realizados por medio de la Computer Fraud and Abuse Act de la Federal Trade Comission Act en materia de protección de datos así como de la protección de infraestructuras críticas provistas por NIST (National Institute of Standars and Technology) y articuladas con el Department of Homeland Security. También se ha avanzado en iniciativas de vigilancia y protección en ambientes digitales asociadas principalmente a la defensa nacional y, mediante la Federal Information Security Management Act, sobre terceros contratistas del gobierno americano. Finalmente están los avances en las leyes sobre privacidad de datos vinculadas a la protección de la identidad digital en suelo americano[4].

 

Por su parte, los estándares y marcos de referencia internacional juegan un papel fundamental dentro del proceso de gestión de la seguridad digital. En el contexto de la seguridad digital, los estándares contribuyen a definir lineamientos y buenas prácticas para la gestión de los incidentes dentro y entre distintas organizaciones[5]. Entre las más conocidas están las familias de las ISO 27000, Cobit 5, los esquemas de NIST y ENISA, o del WEF, los estándares ISF, los SANS Top 20 CIS y, finalmente, los IT Capability Maturity Framework.

 

En Colombia se encuentra la Ley 1273 de 2009 que nace para ampliar el alcance de la política nacional del país que no había tipificado delitos de carácter informático en la normativa penal, dificultando el papel de autoridades para perseguir y de las víctimas para denunciar ciberdelitos. Para este fin, la ley crea nuevas formas penales, orientadas hacia la protección de los datos y la confidencialidad siguiendo los estándares del Criminal Investigative Training Assistance Program (ICITAP).

 

En esta misma línea, se está tramitando actualmente el proyecto de ley que busca implementar el Convenio de Budapest en el país. Este convenio es el único estándar multilateral para la judicialización de delitos informáticos y busca hacer frente al crimen organizado y transnacional de manera articulada, asociando al sector público y privado en torno a la lucha contra el cibercrimen. Para este fin, los países que implementan el Convenio tienen la obligación de armonizar su legislación interna a las exigencias penales y judiciales de los demás países, a la vez que deben mejorar los procesos para favorecer el flujo de información.

 

Puntualmente, frente a la regulación dirigida a las entidades financieras, el Capítulo XXIII de la Circular Básica Contable y Financiera de la Superintendencia Financiera reglamenta el Sistema de Atención al Riesgo Operacional (SARO), la cual incorpora los primeros lineamientos referentes a la seguridad de la infraestructura y los procesos informáticos. En materia de seguridad de la información, en el Capítulo I del Título II de la Parte I de la Circular Básica Jurídica, “Canales, medios, seguridad y calidad en el manejo de información en la prestación de servicios financieros”, se establecen los requisitos que deben cumplir las entidades financieras en este sentido.

 

No obstante, en razón a que el supervisor financiero considera necesario avanzar en la consolidación de un modelo de madurez de la gestión de la Seguridad de la Información y la Ciberseguridad, dicha entidad publicó recientemente para comentarios un proyecto de Circular Externa “por medio de la cual se imparten instrucciones relacionadas con los requerimientos mínimos para la gestión del riesgo de ciberseguridad”[6]. Se resaltan dos aspectos sobre el documento: (i) la inclusión del enfoque de riesgos frente a los temas de ciberseguridad y seguridad de la información y (ii) el ascenso de las responsabilidades de aprobar y monitorear las acciones por parte de los mayores órganos de dirección.

 

En particular, el proyecto establece la obligatoriedad de crear procedimientos y políticas de gestión de riesgos de ciberseguridad que deben ser aprobados y monitoreados por la Alta Dirección y la Junta Directiva de cada entidad. Adicionalmente, promueve la profesionalización del conocimiento y de la cultura en torno a la ciberseguridad. Asimismo, establece la obligatoriedad de estructurar una unidad que gestione los riesgos de seguridad de la información y la ciberseguridad que cada entidad deberá conformar considerando aspectos tales como la estructura, tamaño, canales de atención, volumen transaccional, número de clientes y servicios prestados.

 

Seguramente la expedición de esta regulación por parte de la Superintendencia acelerará los avances en la constitución de un sistema de gestión de riesgos de ciberseguridad sobre el que varias entidades financieras vienen trabajando e implicará reorganizaciones al interior de cada institución para fortalecer sus capacidades frente a las amenazas cibernéticas.

 

Sin embargo, es necesario seguir avanzando también en la articulación de los diferentes actores y sectores en el marco del modelo nacional de gestión de incidentes cibernéticos, no solo pensando en contar con capacidades de respuestas ante la materialización de eventos de ciberseguridad, sino también para fortalecer el modelo de riesgo de amenazas del país y continuar con la consolidación de las habilidades propias para anticiparse al actuar delictivo cibernético.

 

Fuente: Asobancaria.

__________________

[1] Kobayashi, B. (2006). Private versus Social Incentives in Cybersecurity: Law. En M. Grady, & F. Parisi (Edits.), The Law and Economics of Cybersecurity. Cambridge University Press

[2] Son las infraestructuras estratégicas soportadas por Tecnologías de Información y Comunicaciones o Tecnologías de Operación (TO), cuyo funcionamiento es indispensable, por lo que su perturbación o destrucción tendría un grave impacto sobre los servicios esenciales. Fuente: Ministerio de Defensa

[3] Rishikof, H., & Sullivan, C. (2018). Legal and Compliance. En D. Antonucci (Ed.), The Cyber Risk Handbook: Creating and Measuring Effective Cybersecurity. Wiley.

[4] Kosseff, J. (2016). Cybersecurity Law. Wiley

[5] Deutscher, S., & Yin, W. (2016). The Cyber Risk Handbook: Creating and Measuring Effective Cybersecurity. En D. Antonucci (Ed.), Standards and Frameworks for Cybersecurity. Wiley

[6] Proyecto No. 04 -2018. Consultado en https://www.superfinanciera.gov.co/publicacion/proyectos-de-norma-10082380