La semana pasada el gobierno peruano publicó el Decreto de Urgencia 007-2020, donde se aprueba el marco de confianza digital y dispone medidas para su fortalecimiento. El documento define que la confianza digital es un estado que emerge como resultado de cuan veraz, predecible, seguro y confiable son las interacciones digitales que se generan entre personas, empresas, entidades públicas o cosas en el entorno digital. La confianza digital es un componente de la Transformación Digital y tiene como ámbitos la protección de datos, transparencia, seguridad digital y protección del consumidor en el entorno digital.
Al inicio del decreto de urgencia se definen los conceptos que se usaran dentro del documento y el artículo 4 define el Marco de Confianza Digital que se constituye en el conjunto de principios, modelos, políticas, normas, procesos, roles, personas, empresas, entidades públicas, tecnologías y estándares mínimos que permiten asegurar y mantener la confianza en el entorno digital en los siguientes ámbitos.
- Protección de datos personales y transparencia.
- Protección del consumidor.
- Seguridad Digital.
El artículo 7 crea el Centro Nacional de Seguridad Digital como una plataforma digital que gestiona, dirige, articula y supervisa la operación, educación, promoción, colaboración y cooperación de la Seguridad Digital a nivel nacional como componente integrante de la seguridad nacional, a fin de fortalecer la confianza digital. Asimismo, es responsable de identificar, proteger, detectar, responder, recuperar y recopilar información sobre incidentes de seguridad digital en el ámbito nacional para gestionarlos.
El artículo 8 crea el Registro Nacional de Incidentes de Seguridad Digital que tiene por objetivo recibir, consolidar y mantener datos e información sobre los incidentes de seguridad digital reportados por los proveedores de servicios digitales en el ámbito nacional que puedan servir de evidencia o insumo para su análisis, investigación y solución. El Registro Nacional de Incidentes de Seguridad Digital y la información contenida en el mismo tiene carácter confidencial, se soporta en una plataforma digital administrada por la Secretaría de Gobierno Digital, quien es responsable de su disponibilidad, confidencialidad e integridad.
Si bien el artículo 8 menciona que el registro nacional es confidencial, el artículo 9 obliga a las siguientes instituciones a informar sus incidencias de seguridad digital al Centro Nacional de Seguridad Digital todo incidente de seguridad digital:
- Todas las entidades de la administración pública
- Los proveedores de servicios digitales del sector financieros
- Servicios básicos de energía eléctrica, agua y gas
- Servicios de salud
- Servicios de transporte de personas
- Servicios de internet
- Servicios educativos
- Proveedores de actividades críticas
Todas estas entidades y sectores deben informar sus incidencias de seguridad digital al Centro Nacional de seguridad digital, he implementar medidas de seguridad, gestionar los riesgos, establecer mecanismos de verificación de identidad. Pueden leer todos los detalles de la norma en el siguiente LINK. En este artículo deseo presentar cuales son las principales incidencias en el sector financiero, las cuales considero serán las siguientes:
- Las empresas financieras nunca hacen público las incidencias de seguridad digital que implican el robo de información de las tarjetas bancarias y datos personales de sus clientes, porque podrían generar fugas masivas de clientes por la pérdida de confianza en la entidad bancaria. Ahora van a estar obligados a notificar al Centro Nacional de Seguridad Digital todo incidente de seguridad digital.
- Las entidades financieras van a tener que implementar medidas de seguridad física, técnica, organizativa y legal que permitan garantizar la confidencialidad del mensaje, contenido e información que se transmiten a través de sus servicios de comunicaciones.
- Gestionar los riesgos de seguridad digital en su organización con fines de establecer controles que permitan proteger la confidencialidad, integridad y disponibilidad de la información.
- Las instituciones financieras van a tener que establecer mecanismos para verificar la identidad de las personas que acceden a un servicio digital, conforme al nivel de riesgo del mismo y de acuerdo a la normatividad vigente en materia de protección de datos personales.
- Una vez que la entidad financiera haya reportado un incidente de seguridad digital, deberá reportarlo al centro nacional de seguridad y colaborar con la autoridad de la protección de datos personales.
Si bien este centro nacional de seguridad digital va ser confidencial, sabemos que va ser blanco de los hackers para tratar de conseguir esa información, por lo cual el gobierno va tener que invertir fuertemente en equipamiento y normas de seguridad para evitar la fuga de información de este centro nacional. Aprovecho para recordarles las medidas sugeridas para reducir el número de ciberataques en su organización que publique en el siguiente LINK, donde se mencionan las siguientes pasos a tomar:
- Identificar Riesgos: Lo primero que se debe hacer es un inventario de los posibles riesgos de un ciberataque en nuestros sistemas de información, pérdida de datos y en las capacidades de ofrecer nuestros servicios.
- Proteger su información: Se deben implementar las políticas y procedimientos básicos de seguridad de información para asegurar que podamos cumplir con la entrega de los servicios que ofrecemos a nuestros clientes, tanto externos como internos.
- Detectar un ciberataque: Actualmente pueden pasar meses antes que una empresa detecte que sus sistemas han sido vulnerados, de hecho, los eventos en Facebook y Google pasaron años antes que los detectaran. Pero con robots de ciberseguridad, será posible detectar la intrusión más pronto.
- Responder al ataque: Una vez que hemos identificado un ciberataque, se deben tomar las medidas de seguridad para contener el ataque y evitar que se siga exponiendo la información de nuestros sistemas.
- Recuperación del servicio: Una vez contenido el ciberataque, es necesario restablecer las operaciones, aplicando las medidas de seguridad adecuadas para evitar que se vuelva a repetir un ciberataque.
En realidad, las medidas básicas para proteger nuestra información son bastante simples y además pueden ser protegidos con la implementación de soluciones de ciberseguridad con algoritmos de inteligencia artificial. Sin embargo, esto no es suficiente, porque los ciber delincuentes están siempre buscando nuevas rutas para robar información.
Felicito la medida tomada por el gobierno, porque va ayudar a que las instituciones financieras sean más exigentes con sus niveles de seguridad, así como estas medidas darán más tranquilidad al público en general de que sus datos van a estar debidamente protegidos. Si requieren más información sobre ciberseguridad no duden en consultarme vía WhatsApp +51 975002719.