Banco Central sancionó al BHU: "reiteración de incumplimientos" en seguridad de la información

Contenido Exclusivo

La nota a la que intentas acceder es exclusiva para suscriptores

Suscribirme

Conocé nuestros planes
y disfrutá de El País sin límites.

Ingresar

Si ya sos suscriptor podés
ingresar con tu usuario y contraseña.

Este contenido es exclusivo para nuestros suscriptores.

El Banco Central (BCU), regulador y supervisor del sistema financiero, resolvió sancionar al Banco Hipotecario (BHU) ante la “reiteración de incumplimientos asociados a seguridad de la información y controles”.

Una resolución de la Superintendencia de Servicios Financieros del BCU señaló que en 2020 se hizo una “evaluación integral” del Hipotecario y en 2021 se hizo una “actuación de seguimiento”.

En la evaluación de 2020, se “advirtió a la institución que se esperaba que tomara acciones para dar cumplimiento a los requerimientos en materia de seguridad de la información a efectos de evitar la eventual aplicación de futuras sanciones” y en la actuación de seguimiento de 2021 “se constató que no surgieron avances significativos en la corrección de las debilidades” algunas de las cuales “se arrastraban desde el año 2014”.

Pero, ¿qué fue lo que encontró el BCU? En una nota enviada al BHU el 19 de enero de este año, el Central marcó 11 puntos problemáticos del banco.

El primero refiere a que “se continúa sin implementar el monitoreo de usuarios con privilegios especiales de los distintos aplicativos y las revisiones rutinarias de privilegios de usuarios para todos los aplicativos de la institución”.

El segundo es que “no se realiza el control y monitoreo de las actividades de los administradores de bases de datos”.

A su vez, “no se han implementado controles mínimos por parte del área de Seguridad de la Información en su rol de segunda línea de defensa, en cuanto a análisis de vulnerabilidades y fugas de información”.

Como cuarto punto, indicó que “el área responsable de la gestión de usuarios y roles no abarca la totalidad de los sistemas, existiendo sectores que administran directamente sus usuarios de manera autónoma. Tampoco se encarga de los usuarios privilegiados”.

Además, el BCU detectó que “el área de seguridad de la información no participa de la gestión y evaluación de los proveedores, a pesar de estar previsto en el Manual de Políticas de Seguridad de la Información que dicha área participe. En particular, en la gestión de proveedores, se limita a verificar el cumplimiento de aspectos formales o legales y no en cuanto a que el servicio se preste en la forma que se convino y hacer un monitoreo adecuado”.

El sexto punto es que “el área de seguridad de la información -encargada de su gestión- no cuenta con un presupuesto propio”.

Además “los recursos para actividades relevantes en la materia de la seguridad de la información surgen del presupuesto de tecnología”.
El octavo punto es que “no existen restricciones a nivel de sistemas al movimiento de cuentas propias o vinculadas, situación que fuera advertida por la propia Auditoria Interna de la institución”.

Por otro lado, “en lo que respecta a la evaluación de cuentas de funcionarios del banco, continúan sin implementarse medidas periódicas de control de movimientos de empleados o personas vinculadas a ellos, más allá de informes puntuales efectuados”.

El 10° punto refiere a que “no se realizan controles a las cuentas que permanecen sin movimientos por tiempos prolongados”.

El último es que “tampoco se han implementado medidas tendientes a restringir o controlar los movimientos de cuentas propias de empleados o personas vinculadas a ellos”.

El pasado 2 de junio la Superintendencia del BCU dio vista al BHU de las actuaciones y el 16 de junio, el banco presentó sus descargos.

Allí señaló que por ser “una entidad pública estatal, en muchos casos la implementación de acciones o directivas estaba limitada por su propia condición, cuando no por aspectos presupuestales o limitaciones propias del derecho público bajo el cual opera” y por tanto “los Estándares Mínimos de Gestión no pueden ser aplicados de la misma forma o con la misma celeridad” que una institución de derecho privado.

El BHU dijo además que “la institución no ha verificado un incumplimiento ni sus decisiones han verificado un lento avance pasible de sanción alguna” y que en las reiteradas notas enviadas por la Superintendencia “no siempre mencionan todas las debilidades que dieron lugar al proceso sancionatorio, haciendo entender a la institución que algunas observaciones estaban parcialmente levantadas”.

Sin embargo, el BCU no consideró de recibo los descargos porque “los Estándares Mínimos de Gestión son de aplicación tanto a las instituciones de intermediación financieras privadas como públicas. No obstante, se tuvieron en cuenta las características de la entidad dado que se decidió iniciar un proceso sancionatorio luego de un extenso período en el cual permanecieron casi incambiadas las debilidades en materia de seguridad de la información y controles”. También indicó que “se puede dar una no objeción al plan de acción luego de analizada su razonabilidad lo que no equivale a que se dé por levantada dicha debilidad”.

La Superintendencia del BCU concluyó que “dado el número de observaciones y su continuidad en el tiempo, se entiende razonable imponer la sanción de multa”. La misma es de 162.500 Unidades Indexadas ($895.148).