Por Matías Altamira *
La Comisión Nacional de Valores (CNV) adoptó las recomendaciones de la Organización Internacional de Comisiones de Valores plasmadas en la “Guía sobre la Resiliencia Cibernética para las Infraestructuras de Mercado Financiero”, que entrarán en vigencia a partir de enero de 2018.
Mediante la resolución general 704-E/17-CNV (que fue transcripta en la sección Leyes y Comentarios), destaca que resulta conveniente adoptar estándares internacionales relativos a la seguridad informática, atento a que las infraestructuras de mercado financiero cumplen un rol crítico en el sistema financiero y en la economía en general.
También sostiene que la interoperabilidad de las infraestructuras críticas del mercado de capitales posibilitaría la propagación y ampliación de los efectos de los ciberataques, así como las vías de acceso de amenazas, aumentando el riesgo sistémico, por lo que es indispensable mejorar la gestión sobre los riesgos cibernéticos, destacando que un buen nivel de respuesta a los incidentes de seguridad contribuye a conservar su capacidad operativa.
La norma por implementarse trata todo el proceso de gestión de la información y sus exigencias de seguridad tanto físicas como lógicas, por lo que en esta columna sólo se mencionarán algunos aspectos relevantes.
La guía pone el foco en la resiliencia a la ciberseguridad, es decir cómo está preparada la organización para resistir y tolerar una amenaza o un ataque cibernéticos, por lo que recomienda que el marco de resiliencia esté alineado con los requisitos del negocio y orientado a formalizar el apoyo de la dirección, con la participación activa de todo el personal involucrado en el diseño, implementación y revisión del proceso.
Es esencial contar con políticas de seguridad y gestión de la información que sean efectivamente conocidas por todos los miembros de la organización; y deben establecer y asignar claramente las responsabilidades de los distintos sectores sobre los activos informáticos.
Exige que el responsable de Seguridad de la Información tenga suficiente autoridad, independencia, recursos y acceso al directorio. Además, en lo personal debe poseer la experiencia y los conocimientos necesarios para planificar y ejecutar las iniciativas de resiliencia de ciberseguridad, de manera competente. Esta exigencia toca un nervio muy sensible en las organizaciones, que son renuentes a jerarquizar un área que no genera ingresos sino que evita pérdidas.
Establece que las políticas de seguridad de la información deben ser revisadas al menos una vez por año (o antes si ocurren cambios significativos) para validar que continúan siendo apropiadas, adecuadas y eficaces en relación con los objetivos del negocio. Es común que se dedique tiempo y esfuerzo a su elaboración, para luego archivarlas hasta sufrir un ataque, por lo que estará en el responsable mantener el tema en agenda.
Respecto a los empleados, recomienda que se compruebe qué entienden sus responsabilidades y sean idóneos para los roles contratados. A su vez, que se realice una verificación de antecedentes de los candidatos, que sea proporcional a los requisitos de seguridad de la organización, a la clasificación de la información a ser accedida y a los riesgos potenciales percibidos.
A su vez, la organización debe asegurarse de que todos los empleados y contratados sean conscientes de sus responsabilidades con respecto a la seguridad de la información y las cumplan; se mantengan técnicamente capacitados e informados conforme la evolución de los requerimientos, normas y tecnologías de los sistemas de seguridad adoptados por la organización.
En el supuesto de que un empleado se desvincule, la organización debe hacerle cumplir las responsabilidades y obligaciones relativas a la seguridad de la información que continúen vigentes luego de su desvinculación o cambio de puesto; y verificarse que las asignaciones, atribuciones y accesos a la información se actualicen debidamente.
Al tratar los Activos de la información, la guía recomienda que se tenga un conocimiento preciso de ellos, para protegerlos correctamente, en particular de los activos críticos.
Recomienda identificar los activos relevantes en el ciclo de vida de la información, inventariarlos para su control y asignarlos a un propietario, cuando sean creados, desarrollados o adquiridos. Este propietario es responsable de la gestión adecuada de un activo durante todo su ciclo de vida y responsable de su clasificación.
Si bien esta guía es aplicable al ámbito del Mercado de Valores, bien puede ser utilizada por cualquier organización, ya que hoy es indiscutible que el mayor valor de una empresa está en la información que posee.
* Abogado, especialista en Derecho Informático