El cumplimiento del Artículo 8° del Reglamento de Gestión de Seguridad de la Información (RGSI) de la Autoridad de Supervisión del Sistema Financiero (ASFI) es crucial para asegurar que las entidades financieras en Bolivia mantengan altos estándares de seguridad en sus infraestructuras tecnológicas. Este artículo establece una serie de requisitos específicos para la implementación y gestión de vulnerabilidades técnicas, los cuales deben ser seguidos rigurosamente para proteger la integridad de los sistemas de información. En este artículo, exploraremos cada uno de estos requisitos y proporcionaremos consejos prácticos para garantizar un cumplimiento exitoso.

1. Realiza Evaluaciones de Vulnerabilidades Técnicas Anuales y Ante Cambios en la Infraestructura

El Artículo 8° requiere que las entidades supervisadas realicen una evaluación de vulnerabilidades técnicas al menos una vez al año, y también cuando se produzcan cambios en la infraestructura tecnológica. Esta evaluación debe incluir pruebas de intrusión controladas, que pueden ser internas, externas o ambas, dependiendo de los resultados del análisis y evaluación de riesgos en seguridad de la información.

Consejo: Para asegurar el éxito de estas evaluaciones, es recomendable elaborar un plan anual que incluya todas las fases del proceso, desde la preparación hasta la ejecución y el análisis de resultados. Es esencial involucrar a todas las partes interesadas, incluyendo al equipo de TI y a la alta dirección, para garantizar que la evaluación de vulnerabilidades esté alineada con los objetivos estratégicos de la organización. Además, documentar cada fase del proceso no solo facilitará la repetición de la evaluación en el futuro, sino que también proporcionará evidencia en caso de auditorías regulatorias.

2. Revisa y Actualiza las Políticas y Procedimientos Anualmente

El RGSI establece que el conjunto de políticas y procedimientos relacionados con la gestión de vulnerabilidades técnicas debe ser revisado y actualizado, si corresponde, al menos una vez al año. Esta práctica asegura que las políticas sigan siendo relevantes y efectivas frente a las nuevas amenazas y cambios tecnológicos.

Consejo: Para una revisión efectiva, considera formar un comité de seguridad que se reúna periódicamente para evaluar la vigencia de las políticas y procedimientos. Este comité debe estar compuesto por miembros de diferentes departamentos, como TI, riesgos, y cumplimiento, para asegurar una visión integral. Además, es útil realizar simulacros de ataques o escenarios de crisis para probar la efectividad de las políticas existentes y hacer ajustes necesarios basados en los resultados obtenidos.

3. Contrata Servicios de Evaluación de Seguridad Calificados

El Artículo 8° también indica que las entidades deben exigir a las empresas o personas que realicen evaluaciones de seguridad que presenten la documentación que acredite su experiencia y competencias en el área. Además, es obligatorio que estas personas firmen un acuerdo de confidencialidad.

Consejo: Al seleccionar un proveedor de servicios de evaluación de seguridad, verifica que la empresa tenga una trayectoria comprobada en el sector financiero y que sus profesionales cuenten con certificaciones reconocidas. Es recomendable realizar una revisión exhaustiva de las referencias del proveedor y, si es posible, solicitar una prueba de concepto (PoC) para evaluar la calidad del servicio antes de firmar un contrato. No olvides incluir en el contrato cláusulas claras sobre la confidencialidad, tiempos de respuesta y responsabilidades en caso de que se identifiquen vulnerabilidades críticas.

4. Decide si el Análisis lo Realizará Personal Externo, Interno o Ambos

Según el RGSI, el análisis de vulnerabilidades puede ser llevado a cabo por personal interno, externo o una combinación de ambos, dependiendo de los resultados del análisis de riesgos. Es importante que, si se utiliza personal interno, estos no estén involucrados en las áreas de tecnologías y sistemas de información para asegurar la objetividad.

Consejo: Si decides utilizar personal interno, asegúrate de que estén adecuadamente capacitados y que no tengan conflictos de interés. Una buena práctica es rotar el personal encargado de estas evaluaciones para evitar la complacencia y mantener una perspectiva fresca. Si optas por personal externo, elige proveedores que estén familiarizados con el entorno regulatorio boliviano y que entiendan las particularidades de la infraestructura tecnológica de tu entidad. Considera también la opción de un enfoque híbrido, donde el personal interno realiza una evaluación preliminar y un proveedor externo realiza una verificación posterior, lo que puede aportar una doble capa de seguridad.

5. Implementa un Proceso de Mejora Continua

El cumplimiento del RGSI no es un objetivo estático, sino un proceso continuo. Las amenazas a la seguridad evolucionan constantemente, y las políticas y procedimientos de una entidad deben adaptarse en consecuencia.

Consejo: Implementa un ciclo de mejora continua que incluya la evaluación regular de los resultados de las pruebas de intrusión y análisis de vulnerabilidades, así como la incorporación de nuevas tecnologías y metodologías en las políticas de seguridad. Además, considera realizar revisiones periódicas post-evaluación con todas las partes involucradas para discutir los hallazgos y planificar mejoras. Mantén un registro detallado de todas las acciones correctivas tomadas y evalúa su efectividad en las siguientes revisiones.

---

Cumplir satisfactoriamente con el análisis de vulnerabilidades o ethical hacking solicitado por la ASFI es una responsabilidad crítica para las entidades financieras. Siguiendo las directrices del Artículo 8° del RGSI y adoptando las mejores prácticas mencionadas, las entidades pueden no solo cumplir con los requisitos regulatorios, sino también fortalecer su postura de seguridad frente a las amenazas cibernéticas. Es esencial que cada paso del proceso esté bien documentado y alineado con los objetivos estratégicos de la entidad, asegurando así la protección continua de la información y la confianza de los clientes.