Recientemente, el Consejo Nacional de Supervisión de Entidades Financieras de Costa Rica (Conassif) sometió a consulta del sector financiero una reforma integral al “Reglamento General de Gobierno y Gestión de la Tecnología de Información”. De aprobarse la reforma, las entidades financieras se verán obligadas a transformar radicalmente la gobernanza de sus tecnologías de información y, sobre todo, su forma de proteger los datos de sus clientes.
El propósito de la reforma es actualizar una normativa con seis años de vigencia que, en términos tecnológicos, está obsoleta y desalineada con las tendencias internacionales. En particular, el regulador busca robustecer la seguridad de la información y la ciberseguridad, especialmente frente a la oleada de fraudes informáticos de los que han sido víctimas los usuarios del sistema financiero, y los ciberataques que ha sufrido el país en los últimos años.
De la reforma destacan tres cambios que merecen atención por parte de las entidades supervisadas:
1) La enorme cantidad de obligaciones y responsabilidades que se exigen directamente a los Órganos de Dirección (Juntas Directivas).
2) La obligación de reportar incidentes de seguridad cibernética al regulador y a los clientes afectados, así como implementar una batería de nuevos planes y programas de seguridad digital.
3) Las condiciones que impone para la contratación de proveedores de servicios de nube (cloud).
Con relación al primero de dichos cambios, la propuesta exige de las juntas directivas y sus miembros una participación activa y bien informada en la toma de decisiones relacionadas con la tecnología de información y la ciberseguridad. Esto es un claro indicativo de que la era en la que la tecnología y la ciberseguridad eran temas relegados a los departamentos de TI ha quedado atrás. La tecnología es ahora un asunto de gobernanza corporativa de primer orden, pues las decisiones en este ámbito tienen implicaciones legales, económicas y reputacionales significativas.
En segundo lugar, la obligación de reportar incidentes de seguridad cibernética, tanto al regulador como a los clientes afectados, subraya la importancia de la transparencia y la rapidez en la respuesta. Los planes de respuesta, recuperación y resiliencia, así como los programas de análisis de vulnerabilidades que demanda el nuevo reglamento, son esenciales para gestionar efectivamente los riesgos en el ciberespacio. Estas medidas, aunque pueden parecer onerosas, son fundamentales para proteger no solo a las entidades financieras, sino también a sus clientes y al sistema financiero en su conjunto.
“De aprobarse la reforma, las entidades financieras se verán obligadas a transformar radicalmente la gobernanza de sus tecnologías de información y su forma de proteger los datos de sus clientes”.
— Daniel Rodríguez, director de Derecho Digital ECIJA Legal Costa Rica
El reglamento también establece requisitos rigurosos para la contratación de proveedores de servicios en la nube, exigiendo certificaciones como ISO 27001, 27017, 27018, entre otros estándares. Esto garantiza que los proveedores que almacenan la información bancaria de los usuarios cumplan con los más altos estándares de seguridad y confidencialidad, un aspecto crítico dada la creciente dependencia del sector en soluciones de nube.
Por otro lado, es un acierto la distinción que se hace entre “seguridad de la información” y “seguridad cibernética” (ciberseguridad), reconociendo así los riesgos específicos asociados con el ciberespacio y las tecnologías digitales. Además, la exigencia de una Estrategia de Resiliencia Operativa Digital y una adecuada gobernanza de datos a lo interno de las entidades, reflejan una comprensión clara de las complejidades y desafíos del entorno digital actual, donde los datos son el activo más cotizado por los ciberdelincuentes.
Este reglamento desafía a las entidades financieras a revisar y actualizar sus procesos internos, infraestructura y, sobre todo, a capacitar a su personal, comenzando por las Juntas Directivas. La capacitación y la actualización continua en gobernanza tecnológica, ciberseguridad y protección de datos deben ser vistas no como un gasto sino como una inversión esencial en la seguridad y viabilidad a largo plazo de la entidad.
Aunque la reforma tiene oportunidades de mejora, se trata de un paso adelante audaz. Las entidades que se adapten rápidamente y adopten estas regulaciones no solo cumplirán con los requisitos normativos, sino que también fortalecerán su posición en un mercado cada vez más digital y globalizado.