CONASSIF 5-24: ciberseguridad en entidades financieras de Costa Rica
El CONASSIF 5-24 es el Reglamento General de Gobierno y Gestión de la Tecnología de la Información aprobado en 2024 para el sector financiero costarricense. Establece obligaciones en gobernanza de TI, responsabilidades de ciberseguridad, resiliencia operacional y participación de la alta dirección. Es el marco de referencia principal para bancos, cooperativas y entidades supervisadas por SUGEF, SUGEVAL y SUPEN en Costa Rica.
¿Qué es el CONASSIF 5-24?
El Consejo Nacional de Supervisión del Sistema Financiero (CONASSIF) emitió en 2024 el Reglamento General de Gobierno y Gestión de la Tecnología de la Información, conocido como CONASSIF 5-24. Este reglamento establece los estándares mínimos de gobernanza y gestión de TI que deben cumplir las entidades supervisadas por el sistema financiero costarricense. Su propósito central es asegurar que la tecnología se gestione como un activo estratégico bajo supervisión directa de los órganos de gobierno de cada institución.
El reglamento complementa al CONASSIF 4-16, que regula el Gobierno Corporativo de las entidades financieras. Juntos forman un marco integrado donde la tecnología y la seguridad son parte de la estructura de control y responsabilidad institucional.
Organización de TI y responsabilidades de seguridad y ciberseguridad
El CONASSIF 5-24 exige que cada entidad defina con claridad la estructura organizacional de su área de tecnología, separando las funciones de gestión de TI de las funciones de seguridad de la información y ciberseguridad. Esta separación busca evitar conflictos de interés y garantizar que la función de seguridad tenga autonomía para reportar riesgos sin presiones operativas.
Dentro de esta estructura, el reglamento asigna responsabilidades explícitas para:
- Seguridad de la Información: definición de políticas, clasificación de activos, control de acceso y gestión de incidentes.
- Ciberseguridad: monitoreo continuo de amenazas, respuesta a incidentes cibernéticos y coordinación con el CSIRT-CR cuando corresponda.
- Gestión de riesgos tecnológicos: identificación, evaluación y tratamiento de riesgos asociados a sistemas críticos.
La gestión de vulnerabilidades es uno de los procesos que debe estar formalmente documentado y ejecutado de manera continua bajo este marco.
Resiliencia operacional digital y alta dirección
El reglamento introduce el concepto de Resiliencia Operacional Digital como eje transversal de la gestión de TI. Las entidades deben demostrar capacidad para anticipar, resistir, recuperarse y adaptarse ante interrupciones tecnológicas, incluyendo ciberataques, fallos de sistemas y eventos externos.
La alta dirección juega un papel fundamental. El CONASSIF 5-24 establece que los miembros del Comité de Tecnología deben tener funciones específicas y participación activa en la supervisión de la gestión de TI y ciberseguridad. Este comité debe:
- Aprobar la estrategia y presupuesto de tecnología.
- Supervisar el cumplimiento de los planes de continuidad y recuperación ante desastres.
- Revisar periódicamente los indicadores de riesgo tecnológico y ciberseguridad.
- Informar al Directorio o Consejo de Administración sobre el estado de la seguridad de la información.
La aplicación del reglamento es proporcional y diferenciada: las exigencias específicas varían según el tipo y tamaño de la entidad supervisada, permitiendo que cooperativas pequeñas y entidades de menor complejidad cumplan con los principios del reglamento sin requerir estructuras propias de un banco grande.
Marco complementario: SUGEF 5-24 y SINPE
El ecosistema regulatorio costarricense incluye normativa complementaria que refuerza el CONASSIF 5-24:
- SUGEF 5-24: la Superintendencia General de Entidades Financieras emitió regulación específica de seguridad de la información aplicable a las entidades bajo su supervisión, con requisitos operativos más detallados.
- SINPE (Sistema Nacional de Pagos Electrónicos): las entidades que participan en el sistema de pagos electrónicos del Banco Central de Costa Rica deben cumplir con los estándares de seguridad de SINPE, incluyendo controles de autenticación, cifrado y protección de transacciones.
Estos marcos se aplican de forma coordinada, de modo que una entidad financiera costarricense debe alinear su programa de seguridad con los tres instrumentos simultáneamente.
Estrategia Nacional de Ciberseguridad MICITT 2023-2027
El MICITT (Ministerio de Ciencia, Innovación, Tecnología y Telecomunicaciones) lidera la Estrategia Nacional de Ciberseguridad 2023-2027, que establece los objetivos del país en materia de protección digital a nivel sectorial y gubernamental. La estrategia incluye la propuesta de creación de una Agencia Nacional de Ciberseguridad (CSIRT-CR) que centralizaría la respuesta a incidentes cibernéticos y coordinaría la protección de infraestructuras críticas del sector público y privado.
Para las entidades financieras, esta estrategia es relevante porque el sector bancario está identificado como infraestructura crítica. La coordinación con el CSIRT-CR en caso de incidentes de alto impacto será parte de las obligaciones operativas de las entidades bajo CONASSIF 5-24 y SUGEF 5-24.
El NIST Cybersecurity Framework es uno de los marcos internacionales de referencia más citados en estrategias nacionales de ciberseguridad de América Latina, incluyendo la costarricense.
Cómo preparar tu entidad para el cumplimiento
Implementar el CONASSIF 5-24 requiere un enfoque estructurado que combine gobernanza, tecnología y procesos. Los puntos de partida más críticos son:
- Documentar la estructura organizacional de TI y definir claramente los roles de seguridad y ciberseguridad.
- Establecer o fortalecer el Comité de Tecnología con funciones formalmente definidas y reportes regulares al Directorio.
- Implementar un proceso continuo de gestión de riesgos tecnológicos que incluya evaluaciones periódicas de vulnerabilidades.
- Desarrollar planes de continuidad y recuperación que cumplan con los principios de resiliencia operacional digital.
- Alinear los controles internos con los requisitos específicos de SUGEF 5-24 y SINPE según corresponda.
Un pentest periódico es una herramienta fundamental para demostrar el estado real de la seguridad ante reguladores y para identificar brechas en los controles técnicos antes de una auditoría de cumplimiento.
Si te interesa cómo otros países de la región estructuran sus obligaciones regulatorias, puedes revisar el marco de ciberseguridad en República Dominicana, que incluye la Ley 133-21 y el Reglamento de la Junta Monetaria.
¿Tu entidad financiera necesita alinear su programa de seguridad con el CONASSIF 5-24 y SUGEF 5-24? En WhiteJaguars acompañamos a bancos, cooperativas y entidades reguladas en Costa Rica a estructurar sus controles de ciberseguridad, ejecutar evaluaciones técnicas y preparar evidencia para auditorías regulatorias. Contáctanos para una evaluación inicial.