Solicita reporte a Sugef sobre evaluaciones a sistemas de seguridad cibernética de bancos públicos
Debido a denuncias el mes anterior referente a problemas que debieron enfrentar personas usuarias con plataformas digitales en una entidad bancaria, la Defensoría de los Habitantes solicitó a la Superintendencia de Entidad Financieras (Sugef) un reporte de evaluaciones referente al estado de la seguridad cibernética y de información de los bancos públicos.
Los y las habitantes refieren a que tuvieron afectaciones que van desde problemas para ingresar a la aplicación del Sistema Nacional de Pagos Electrónicos (SINPE) de la entidad bancaria, problemas para generar pagos mediante la aplicación, problemas en la aplicación móvil, en el sitio web de la institución y otros canales digitales; hasta supuestos rebajos de más, cobros duplicados de una misma transacción, pagos de compras con fechas futuras, entre otras.
Para la Defensoría es importante conocer en el marco de la utilización de la gestión de tecnología de la información por parte de los entes bancarios, la labor que ha venido realizando la Sugef amparado en el reglamento que aprobó el Consejo Nacional de Supervisión del Sistema Financiero, publicado en el Alcance Digital N° 134 a La Gaceta N° 130 del 22 de julio del 2024.
Dicho reglamento tiene como finalidad establecer los requerimientos para el gobierno y la gestión de la tecnología de información y sus riesgos asociados, que deben ser acatados por las entidades y empresas supervisadas del sistema financiero costarricense, en especial, el artículo 39, que señala “Las entidades y empresas supervisadas deben comunicar a las respectivas Superintendencias los incidentes de seguridad de la información y seguridad cibernética cuando su impacto sea clasificado como «moderado» o «alto», y las Superintendencias podrán solicitar informes…»
Adicionalmente la Defensoría de los Habitantes solicitó conocer la valoración que la SUGEF realiza de la Gestión de la seguridad de la información y la seguridad cibernética de los Banco Nacional de Costa Rica, el Banco de Costa Rica y el Banco Popular y de Desarrollo Comunal en el que se aborden al menos los siguientes temas señalados por el propio reglamento:
→ Indicadores para medir de forma recurrente la eficacia y eficiencia de la seguridad cibernética (art.32)
→Programas de análisis de vulnerabilidades y pruebas que incluyan los controles de seguridad de la información y seguridad cibernética. (art. 33).
→Si se cuentan con unidades, funciones organizacionales, centros de operaciones y comités técnicos de gestión de riesgos de la seguridad
de la información y la seguridad cibernética (art.34)
→Diseño e implementar, anualmente, planes de promoción de la cultura de la seguridad de la información y la seguridad cibernética. (art.35)
→Si cuentan con su perfil tecnológico, actualizado anualmente (art.42) y dentro de este los procesos de evaluación detallados en el anexo 1 de los lineamientos generales del presente Reglamento General de Gestión de la Tecnología de Información y cuáles categorías de las funciones de la seguridad cibernética establecidas en el anexo 4 de los lineamientos generales de dicho reglamento resultan adecuadas para evaluar su gestión de riesgos de seguridad cibernética (art.43)
→Informes dirigidos a la Superintendencia en los que se identifiquen los cambios que se realicen en el perfil tecnológico con respecto al perfil anterior, los cuales, consideren que son significativos en aspectos tales como impacto en: la operación, la seguridad, el cumplimiento, la inversión requerida, los beneficios esperados, el alcance de los procesos de evaluación aplicables a la entidad, los riesgos asociados y su alineación con la estrategia organizacional, entre otros. Lo anterior, en virtud de su naturaleza, tamaño, complejidad, modelo de negocio y riesgos. (art.45)
→Resultados de las auditorías externas de TI solicitadas (art.46)
Oficina de Comunicación Institucional | Defensoría de los Habitantes.
