Este contenido es exclusivo para nuestros suscriptores.
En su búsqueda por implementar innovaciones en el sistema de pagos, ya presentes en distintos países pero que aún faltan en Uruguay, el Banco Central (BCU) trabaja en el marco de ciberseguridad para las Instituciones Emisoras de Dinero Electrónico (IEDE). ¿Cuáles son los pasos a trabajar y las “brechas” entre el “deber ser y el ser” que aún se mantienen?

El BCU, junto a la Agencia de Gobierno Electrónico y Sociedad de la Información y del Conocimiento (Agesic), cuenta con un plan de trabajo para desarrollar este marco regulatorio que espera ser finalizado al cierre de 2023.

Según explicó a El País la gerente de gestión de Auditoría de Seguridad de la Información de Agesic, Fabiana Santellán, al momento de regular en materia de ciberseguridad, no solo en Uruguay sino en el mundo, se es “lento”, ya que se buscan mitigar los riesgos y no la tecnología en sí.

Sin embargo, respecto al trabajo que están desarrollando con las IEDE, destacó que estas organizaciones “están más preocupadas ellas de hacer las cosas bien”, ya que esto es importante para su negocio.

El marco de ciberseguridad abarca cinco dimensiones, según Santellán. La primera es “identificar” los activos de la organización -desde recursos humanos a un servidor en la nube- y los riesgos que estos pueden presentar.

Si bien los riesgos específicos del sector no están determinados aún, explicó que a nivel general hay “aspectos que se van repitiendo”. Por ejemplo, en esta dimensión señaló que no todas las organizaciones cuentan con un “inventario fuerte”, ya que “son procesos tediosos”.

Luego de contar con “esa foto” de los activos y sus riesgos, se encuentra la segunda dimensión: “proteger”.

En este sentido, dijo que los controles a implementar para mitigar los riesgos no siempre son tecnológicos, sino que pueden abarcar también flujos de trabajo o charlas de concientización. “Por ejemplo, podés tener el mejor sistema con el mejor control de acceso y viene un usuario y pone una contraseña débil o tenés un data center con la mejor seguridad de acceso físico y te dejan un zapato en la puerta y la dejan abierta”, afirmó.

Los riesgos en esta dimensión, señaló que no tratan de “carencias” sino de “en dónde pongo mis balas”.

La tercera dimensión, es “monitorear” o generar la “detección”, para ver que “no te pongan el zapato en la puerta”, es decir que los controles estén surgiendo efecto.

Sostuvo que en el sector financiero y de las IEDE, en términos generales, se está “bastante bien”, pero al ver el resto de los sectores “es un debe”, porque eventualmente pueden haber alarmas, “pero nadie las lee, nadie las revisa o no se toma el trabajo de depurar qué es un falso negativo o un falso positivo”.

Asimismo, opinó que esto pasa por una percepción baja del riesgo de los tomadores de decisión en las organizaciones, que está “muy basada en que no sabemos qué pasa, porque no nos enteramos. No es que no te pasó nada, es que nunca fuiste al médico”.

La cuarta dimensión, es la respuesta a incidentes. Se debe tener “claro qué hacer cuando ocurre un incidente”, contar con un plan de acción y no “pensar qué vamos a hacer” cuando algo ocurre.

“En lo que es el sistema nacional de pagos, el sistema financiero, eso está más que claro”, señaló. Sin embargo, en otros sectores destacó que esta capacidad de respuesta “es casi cero. Cuando pasa algo ven qué hacen”.

Por último, la quinta dimensión sobre la cual se basará el marco regulatorio, es la de “resiliencia”. Es decir, “ya respondí al incidente, pero capaz que fue lo suficientemente disruptivo que puede estar afectando mis operaciones. ¿Cómo hago para continuar operando? ¿Cuál es mi plan B?”, explicó Santellán.

“En lo que es el plan B, ese sí es un debe. No en el sistema financiero, porque el BCU exige un plan B, pero los que no están regulados por el Central, diría que en un porcentaje altísimo no existen planes de recuperación”, afirmó.

“Si el monitoreo se ve poco, si la gestión de incidentes se ve poco, salir a hacer algo disruptivo se ve muchísimo menos. De todas las dimensiones es la más flaca, sin lugar a dudas”, sostuvo.