La Circular 036 tiene como objetivo primordial impulsar a las organizaciones financieras del Sector Solidario a implementar mecanismos efectivos para la detección y prevención de riesgos operativos tecnológicos y de seguridad de la información. Esto, con el fin de asegurar la confidencialidad, integridad y disponibilidad de sus activos de información, así como prepararlas para responder y minimizar el impacto ante posibles incidentes que puedan comprometer la prestación de servicios.
Las tres fases establecidas por esta normativa debieron haber sido implementadas en marzo y julio del año 2022. A día de hoy, numerosas organizaciones aún no han logrado consolidar plenamente sus sistemas de gestión de seguridad de la información. Esto se debe, en parte, a la falta de personal especializado en tecnología de la información (TI) o la carencia de la infraestructura, herramientas y recursos tecnológicos necesarios para abordar todos los requerimientos exigidos por la Superintendencia de la Economía Solidaria. En consecuencia, la implementación de estas medidas implica una inversión significativa.
Sin embargo, muchas organizaciones han avanzado de manera significativa en la dirección correcta, lo que incluye:
- Diseñar su Sistema de Gestión de Seguridad de la Información.
- Identificar activos de información críticos.
- Definir roles y responsabilidades relacionadas con la protección de datos.
- Implementar controles de seguridad perimetral.
- Establecer mecanismos para prevenir y gestionar incidentes de seguridad de la información.
- Mantener sistemas redundantes tanto en datos como en equipos físicos.
- Realizar respaldo de datos.
- Iniciar procesos de digitalización y automatización.
- Mantener sistemas de antivirus.
Es importante destacar que esta circular se aplica principalmente a las cooperativas que se dedican a actividades financieras, como ahorro y crédito. No obstante, es fundamental que todas las organizaciones solidarias, independientemente de su tamaño o complejidad, tomen conciencia de estos temas y trabajen en la construcción de sus sistemas de gestión de seguridad de la información. Esto les brindará una mayor tranquilidad y les permitirá abordar los desafíos tecnológicos actuales.
A medida que las organizaciones automatizan sus procesos, dependen cada vez más de la tecnología y utilizan canales electrónicos, aumenta su exposición a riesgos operativos y de seguridad de la información. Por esta razón, es crucial la implementación de mecanismos y herramientas que gestionen estos riesgos y minimicen su impacto.
Algunas recomendaciones clave para estas entidades incluyen:
- Ver el sistema de seguridad y calidad de la información como un sistema dinámico que debe ser revisado y mejorado de manera continua.
- Mantener al personal ya las partes interesadas informadas sobre los riesgos a los que están expuestos y cómo pueden contribuir a minimizar su ocurrencia e impacto desde sus roles.
- Fomentar una cultura de seguridad de la información en toda la organización, incluyendo la alta dirección y el consejo.
- Garantizar que el personal cuente con los conocimientos, habilidades y conductas necesarias para desempeñar sus funciones.
- Identificar y clasificar los activos de información.
- Aprovechar al máximo la infraestructura y las herramientas tecnológicas actuales, buscando opciones rentables y sostenibles para abordar los riesgos.
- Monitorear los accesos y acciones realizadas por los usuarios en los sistemas de información.
- Establecer mecanismos de monitoreo de la disponibilidad, capacidad y funcionamiento de sistemas, servicios y componentes tecnológicos para anticipar posibles eventos que podrían afectar la operatividad del negocio.
- Establecer y dar seguimiento a un plan de trabajo que cumpla con las normativas regulatorias vigentes.
- Adaptar las medidas de seguridad a las necesidades y recursos de cada organización.
En resumen, la Circular 036 representa un llamado a la acción para que las organizaciones fortalezcan su seguridad de la información y reduzcan los riesgos operativos. A medida que el mundo empresarial se vuelve cada vez más digital, la protección de datos y sistemas se convierte en un factor crítico para el éxito y la confianza de las partes interesadas. La inversión en seguridad y la adopción de buenas prácticas en esta área son esenciales para garantizar la continuidad del negocio y la protección de la información sensible.
