Guía para el análisis de riesgos de ciberseguridad y privacidad de datos para el aseguramiento del cumplimiento de entidades bancarias en el Perú, usando NIST CSF y NIST SP 800-37

Abstract

En la actualidad los avances tecnológicos y las amenazas cibernéticas para una entidad bancaria requieren un enfoque proactivo para identificar y gestionar los riesgos asociados a la seguridad de la información. De este modo debido a la creciente importancia en ciberseguridad y la privacidad de datos en el sector bancario es necesario gestionar adecuadamente los riesgos cibernéticos presentes en su actividad para lograr el cumplimiento normativo vigente. En este proceso se debe lograr identificar las obligaciones de cumplimiento, vulnerabilidades, amenazas y riesgos específicos en ciberseguridad y privacidad de datos en el sector bancario peruano. Así como de diseñar controles efectivos que ayuden a garantizar la seguridad de la información y lograr el cumplimiento normativo en las entidades bancarias. El presente trabajo de fin de carrera realiza la investigación y análisis sobre las obligaciones de cumplimiento normativo entre los aspectos de ciberseguridad y privacidad de datos necesarios a cumplir por las entidades bancarias. Así como de los elementos específicos al abordar el diseño e implementación de estrategias como guías específicas para mantener la seguridad cibernética con el uso de los marcos de trabajo NIST CSF y NIST SP 800-37. El uso de estos marcos de trabajo permite abordar adecuadamente las vulnerabilidades y amenazas presentes en las obligaciones de cumplimiento bancaria en relación con el activo de información presente en una entidad bancaria. Así también al lograr gestionar y evaluar el conjunto de riesgos identificados sobre cada uno de los activos de información. Por último, al diseñar métodos de respuesta por medio de los controles de seguridad ante incidentes cibernéticos al evaluar los riesgos y controles diseñados para los activos de información.