La normativa de la Superintendencia de Economía Popular y Solidaria (SEPS) regula a las Cooperativas. Se dedica a regular los niveles mínimos para la administración de seguridad de la información de las entidades. Como organismo técnico, la SEPS se ocupa de la aplicación de las mejores prácticas de fortalecimiento, supervisión y control de la economía popular y solidaria, apoyando su estabilidad y sostenibilidad. En concordancia, la Corporación Nacional de Finanzas Populares y Solidarias (CONAFIPS) y las empresas deben resguardar y proteger sus activos de información, preservando su confidencialidad, disponibilidad e integridad. Esta normativa nace al considerar un mundo que protagoniza una transformación digital inédita.

Un

Plan Director de Seguridad

evita el incumplimiento de la normativa.

Sin seguridad de la información y/o ciberseguridad, no existe transformación digital. Por lo tanto, es necesaria una planificación de seguridad que involucre toda la información documentada requerida por ISO/IEC 27001. Asimismo, es necesario plantear el alcance del SGSI, la política de seguridad de la información con su respectivo proceso de evaluación de riesgos de seguridad de la información y el tratamiento de dichos riesgos. Una declaración de aplicabilidad es necesaria, así como la presentación y seguimiento de los objetivos de seguridad de la información. Todo esto supone una evidencia de competencia e información documentada determinada por la organización como necesaria para la eficacia del SGSI. El plan, por supuesto, debe comprender control operacional, resultados de las evaluaciones de riesgos de seguridad de la información, resultados de las evaluaciones de riesgos de seguridad de la información, así como resultados del tratamiento de riesgos de seguridad de la información. La evidencia de los resultados del seguimiento y la medición se hace necesaria y también la evidencia de los programas de auditoría y los resultados de la auditoría. Además, hay que contar con la evidencia de los resultados de las revisiones por la dirección, así como con la evidencia de la naturaleza de las no conformidades y cualquier acción posterior tomada. En definitiva, debe contarse con pruebas de los resultados de cualquier acción correctiva.

Las entidades deben contar con una estructura orgánico-funcional acorde al tamaño, complejidad de sus operaciones y normativa vigente que le aplica según su segmento. Además, se deben identificar las fallas o insuficiencias asociadas al factor 'personas', tales como: falta de personal adecuado, negligencia, error humano, conflicto de intereses, falta de segregación de funciones, inapropiadas relaciones interpersonales y ambiente laboral desfavorable, falta de especificaciones claras en los términos de contratación del personal, entre otros.

Con el objeto de garantizar la optimización de los recursos y la estandarización de las actividades, las entidades cajas centrales, asociaciones mutualistas de ahorro y crédito para la vivienda, deberán contar con procesos definidos, documentados, aprobados, actualizados y socializados que se encuentren alineados con la estrategia institucional y con las políticas adoptadas. Se deben definir formalmente procesos, políticas y procedimientos que aseguren una apropiada planificación, administración y cumplimiento de los objetivos institucionales; en concordancia, principalmente, con los factores de riesgo personas y tecnología de la información.

Tipos de arquitectura de seguridad

y SGSI para consumar la normativa

La arquitectura de seguridad, también conocida como 'arquitectura de seguridad de red' o network security architecture, es un marco que especifica la estructura organizativa, los estándares, las políticas y el comportamiento funcional de una red informática junto a sus características y seguridad. Esta estructura de un sistema informático se relaciona también con el diseño del software de sistema, por ejemplo, con el sistema operativo, así como con la combinación de hardware y software que comunica los aparatos de una red informática. La arquitectura de seguridad involucra la seguridad en aplicaciones cloud, las amenazas avanzadas persistentes (APT), la gestión de eventos y el cumplimiento.

Hay que tomar en cuenta que una contramedida, o control de seguridad, es cualquier artefacto o proceso que elimine o mitigue una vulnerabilidad o proteja al activo de una o más amenazas. Así, la metodología definida para la gestión del riesgo operativo debe considerar los factores de riesgo operativo y cumplir con los siguientes criterios: a) La metodología debe ser implementada en toda la entidad en forma consistente. b) Asignación de recursos suficientes para aplicar la metodología en las principales líneas de negocio, en los procesos de control y de apoyo. c) Aplicación de metodologías integradas a los procesos de gestión de riesgos de la entidad. d) Establecimiento de mecanismos que permitan una mejora permanente de la gestión del riesgo operativo. e) La aplicación de la metodología de gestión del riesgo operativo debe estar adecuadamente documentada. f) Instaurar procedimientos que permitan asegurar el cumplimiento de la metodología de gestión del riesgo operativo. g) Determinación de los límites de pérdidas aceptadas o administradas de acuerdo a lo señalado en las políticas de riesgo operativo.

Soluciones tecnológicas

y

servicios de ciberseguridad

Para reforzar la ciberseguridad y no incumplir con la normativa SEPS es importante implementar un SGSI (Sistema de Gestión de Seguridad de la Información), entre otras iniciativas. Un SGSI consiste en políticas, procedimientos, directrices, recursos y actividades asociados y administrados por una organización con el objetivo de proteger los activos de información. Principios del SGSI: a) Conciencia sobre la necesidad de seguridad de la información. b) Asignación de responsabilidades. c) Incorporar el compromiso de la alta dirección y partes interesadas. d) Mejorar los valores sociales. e) Evaluación de riesgos que determinan controles apropiados para alcanzar niveles aceptables de riesgo. f) Seguridad incorporada como elemento esencial de las redes y sistemas de información. g) Prevención activa y detección de incidentes. h) Garantizar un enfoque integral. i) Reevaluación continua y actualización. Hoja de ruta para la implementación del SGSI.

Es recomendable fortalecer los programas de educación financiera especializada, para oferentes y demandantes de servicios financieros, así como generar fuentes de financiamiento para creación de nuevos servicios financieros digitales, seguridad de la información, prevención de ciberataques y capacitación. A fin de que la labor de supervisión se adecúe al proceso de transformación digital, la SEPS busca propiciar un marco normativo que facilite las asociaciones responsables y seguras, para que las entidades controladas puedan brindar una mayor gama de servicios, con mayor cobertura, promoviendo así la innovación de productos financieros, reducción de costos, y la inclusión financiera. La posibilidad de que los consumidores no confíen en el uso de Servicios Financieros Digitales debido a preocupaciones sobre la privacidad de los datos, con implicaciones para la inclusión financiera debe ser, por lo tanto, considerada al momento de generar regulación y política pública.

No olvides que Teuno cuenta con toda la capacidad y las herramientas para reforzar la ciberseguridad de cooperativas o entidades financieras, conoce más aquí.