Institución le pidió un reporte a Sugef sobre evaluaciones a sistemas de seguridad cibernética de bancos públicos.
La Defensoría de los Habitantes le solicitó a la Superintendencia de Entidad Financieras (Sugef) un reporte de evaluaciones referente al estado de la seguridad cibernética y de información de los bancos públicos, a raíz de las denuncias sobre problemas que debieron enfrentar personas usuarias con plataformas digitales en una entidad bancaria.
En un comunicado de prensa emitido el día de hoy, la Defensoría expone que las personas habitantes tuvieron afectaciones que van desde problemas para ingresar a la aplicación del Sistema Nacional de Pagos Electrónicos (Sinpe) de la entidad bancaria así como para generar pagos mediante la aplicación, y además, una serie de inconvenientes en la aplicación móvil, en el sitio web de la institución y otros canales digitales. Incluyendo supuestos rebajos de más, cobros duplicados de una misma transacción, pagos de compras con fechas futuras, entre otras.
Para la Defensoría es fundamental conocer en el marco de la utilización de la gestión de tecnología de la información por parte de los entes bancarios, la labor que ha venido realizando la Sugef amparado en el reglamento que aprobó el Consejo Nacional de Supervisión del Sistema Financiero, publicado en el Alcance Digital N° 134 a La Gaceta N° 130 del 22 de julio del 2024.
Dicho reglamento tiene como objetivo establecer los requerimientos para el gobierno y la gestión de la tecnología de información y sus riesgos asociados, que deben ser acatados por las entidades y empresas supervisadas del sistema financiero costarricense, en especial, el artículo 39, que señala: “Las entidades y empresas supervisadas deben comunicar a las respectivas Superintendencias los incidentes de seguridad de la información y seguridad cibernética cuando su impacto sea clasificado como "moderado" o "alto", y las Superintendencias podrán solicitar informes”.
En ese orden de ideas, la Defensoría solicitó conocer la valoración que la Sugef realiza de la gestión de la seguridad de la información y la seguridad cibernética del Banco Nacional de Costa Rica (BN), el Banco de Costa Rica (BCR) y el Banco Popular y de Desarrollo Comunal (BP), en el que se aborden al menos los siguientes temas señalados por el propio reglamento:
- Indicadores para medir de forma recurrente la eficacia y eficiencia de la seguridad cibernética (art. 32).
- Programas de análisis de vulnerabilidades y pruebas que incluyan los controles de seguridad de la información y seguridad cibernética (art. 33).
- Si se cuentan con unidades, funciones organizacionales, centros de operaciones y comités técnicos de gestión de riesgos de la seguridad de la información y la seguridad cibernética (art. 34).
- Diseño e implementar, anualmente, planes de promoción de la cultura de la seguridad de la información y la seguridad cibernética (art. 35).
- Si cuentan con su perfil tecnológico, actualizado anualmente (art. 42) y dentro de este los procesos de evaluación detallados en el anexo 1 de los lineamientos generales del presente Reglamento General de Gestión de la Tecnología de Información y cuáles categorías de las funciones de la seguridad cibernética establecidas en el anexo 4 de los lineamientos generales de dicho reglamento resultan adecuadas para evaluar su gestión de riesgos de seguridad cibernética (art. 43).
- Informes dirigidos a la Superintendencia en los que se identifiquen los cambios que se realicen en el perfil tecnológico con respecto al perfil anterior, los cuales, consideren que son significativos en aspectos tales como impacto en: la operación, la seguridad, el cumplimiento, la inversión requerida, los beneficios esperados, el alcance de los procesos de evaluación aplicables a la entidad, los riesgos asociados y su alineación con la estrategia organizacional, entre otros. Lo anterior, en virtud de su naturaleza, tamaño, complejidad, modelo de negocio y riesgos (art. 45).
- Resultados de las auditorías externas de TI solicitadas (art. 46).