Siguiendo lineamientos internacionales y en el marco de la aplicación de mejores prácticas de gestión y de regulación, el Banco Central del Uruguay (BCU) ha publicado la Guía de los Estándares Mínimos de Gestión relativos a Seguridad de la Información para instituciones financieras (EMG), los que representan un conjunto de políticas y prácticas que el BCU espera encontrar en cualquiera de las entidades supervisadas. A estos efectos, ha desarrollado un mecanismo homogéneo que permita sintetizar los resultados de la evaluación y ha definido la metodología de calificación denominada CERT, la cual se centra en cuatro componentes: Gobierno Corporativo, Evaluación Económico Financiero, Riesgos y Tecnología. 

Con vigencia 31 de octubre de 2021 el BCU publicó la “Guía de los Estándares Mínimos de Gestión relativos a la Seguridad de Información”. Dicho documento está basado en el Marco de Ciberseguridad de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y el Conocimiento (AGESIC), siguiendo el enfoque del Instituto Nacional de Estándares y Tecnología (NIST). 

Este marco establece un enfoque sistemático para la reducción del riesgo de seguridad de la información y presenta un modelo de madurez que puede ser utilizado para la autoevaluación periódica, y la priorización de planes de acción en pos de mejorar el nivel de protección y capacidad de respuesta. 

En particular los EMG relativos a la seguridad de la información hacen énfasis en cinco puntos:

• Gobierno de Ciberseguridad, destacando el rol de la alta dirección en el proceso de desarrollo y ejecución de políticas y procedimientos de seguridad.
• Marco de Gestión de Riesgos, estableciendo el grado de adopción de riesgo asumido por la institución y su alineación con los objetivos estratégicos de la misma.
• Auditoría Interna, determinando el conjunto de procesos críticos, y los controles y revisiones aplicados a estos. Se espera además contar con evidencia de los controles ejecutados, observaciones detectadas y las acciones de mitigación y/o corrección aplicadas.
• Función de Seguridad de la Información, representando una “segunda línea de defensa”, velando por la aplicación de los controles y procedimientos de seguridad (en la “primer línea”), y en concordancia con los requerimientos del negocio.
• Función de Gestión de Tecnologías de la Información (TI), siendo responsable de proveer ambientes digitales de trabajo seguro, promover políticas de desarrollo y de contratación de terceros que cumplan los estándares, y realizar la custodia segura de datos de la institución, entre otros. 

Si bien es esperable que la mayoría de estos aspectos ya hayan sido contemplados por las instituciones financieras del país, la guía de EMG se presenta como un marco de referencia para la autoevaluación y revisión de los planes de acción a futuro. Desde CPA FERRERE contamos con un equipo de profesionales altamente capacitados que pueden colaborar en el cumplimiento de estos requisitos y facilitar el camino hacia la madurez digital.