Continuidad de negocio y Seguridad de la información en El Salvador
Por Javier Rosado y Douglas Henríquez
Las empresas salvadoreñas se están preparando para fortalecer su seguridad de la información y su respuesta ante diferentes situaciones de desastre. Muchas de estas organizaciones están tomando como referencia los estándares internacionales ISO, concretamente ISO 22301, para la implantación de un Sistema de Gestión de Continuidad de Negocio (SGCN) e ISO 27001, para la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI). Sin embargo, las entidades financieras, como suele ser habitual en los países de todo Latam, se rigen por las normativas que los bancos centrales, o las superintendencias de bancos y seguros, publican para que estas organizaciones mejoren en lo relativo a su seguridad de la información y su gestión de la continuidad de negocio, y además estén supervisados para estos organismos, lo cual garantizará el fortalecimiento de las entidades en estos aspectos.
El Banco Central de Reserva de El Salvador, en adelante BCR, publicó dos borradores de normas técnicas con fecha de 30 de junio de 2015, una para la implantación de un SGSI y otra para la implantación de un SGCN. Estos borradores están siendo tomados cuenta por las entidades financieras reguladas, adelantándose a la publicación de las normativas definitivas, ya que cuando sean publicadas las versiones definitivas, se contará con un plazo de entre 6 y 12 meses para su completa adecuación. Además, el mercado de hoy en día, demanda que las organizaciones estén preparadas para saber gestionar cualquier situación de crisis que se pudiera presentar y que podría poner en riesgo los objetivos de la misma e incluso la continuidad de sus operaciones en el tiempo. Por ello, existe ya una cultura sobre esta materia y que además se ve apoyado por este tipo de normativos.
Si bien, antes de comenzar con el análisis de sus diferentes puntos, vamos a aclarar los sujetos que estarán obligados a la implantación de estos requerimientos, destacando que realmente cualquier organización en El Salvador podría utilizarla como referencia, ya que son muchísimas las similitudes que podemos encontrar con las normativas ISO mencionadas anteriormente. Los sujetos de aplicación para estas normativas del BCR serán los bancos constituidos en El Salvador, conglomerados financieros, sociedades de seguros, bolsas de valores, bancos cooperativos, inversionistas, sociedades de sistemas de pagos, el Fondo Social para la Vivienda, el Fondo Nacional de Vivienda Popular, el Instituto de Previsión Social de la Fuerza Armada, el Banco de Fomento Agropecuario, el Banco Hipotecario, el Banco de Desarrollo de El Salvador, entre otros.
En las siguientes líneas, se van a resumir los requerimientos que establecen ambas normativas desde un punto de vista integrado, ya que la seguridad de la información o la continuidad de negocio, si no que nos invitan a implantar un sistema de gestión, lo que significa que esto no se tratará de un trabajo puntual para cubrir con una serie de requerimientos, sino que se promoverá el introducir estos sistemas en el día a día de las operaciones de la organización, para que bajo un ciclo de mejora continua, estén siempre actualizados y ayuden a la consecución de los objetivos de las organizaciones.