Al compartir en el Seminario "Seguridad de la Información en el Sector de Valores" celebrado en la mañana del 9 de abril, el Sr. Le Cong Phu, Subdirector del Centro de Respuesta a Emergencias Ciberespaciales de Vietnam (Vncert, Ministerio de Información y Comunicaciones ) dijo que el Departamento de Seguridad de la Información del Ministerio de Información y Comunicaciones ha solicitado a las compañías de valores que informen antes del 15 de abril sobre la implementación de la seguridad de la información por nivel y la seguridad de la información de acuerdo con el modelo de 4 capas. En concreto, estas cuatro capas incluyen fuerzas de seguridad in situ, que son evaluadas por organizaciones profesionales, monitorizadas por organizaciones profesionales y, finalmente, conectadas al Centro Nacional de Monitoreo de Seguridad Cibernética.

Según el Sr. Phu, recientemente, el Departamento de Seguridad de la Información ha instado a la implementación, y el grupo de agencias estatales lo ha hecho bastante bien. Sin embargo, el grupo de empresas e instituciones financieras no es realmente bueno.

“No hemos encuestado a las compañías de valores sobre sus capacidades actuales de prevención de ciberataques. Sin embargo, tras el reciente ciberataque en VNDirect, hemos constatado que la mayoría de las compañías de valores en particular, y las empresas en general, no han cumplido con la información sobre ciberseguridad en todos los niveles”, afirmó el Sr. Phu.

Sr. Le Cong Phu, Subdirector del Centro de Respuesta a Emergencias Cibernéticas de Vietnam (Vncert) Foto: Trong Hieu.

De conformidad con lo dispuesto en el artículo 25, Apéndice IV de la Ley de Inversiones de 2020 y la cláusula 2, punto b, cláusula 2, artículo 9 del Decreto 85/2016/ND-CP, los sistemas de información que prestan servicios de valores deben garantizar la seguridad del sistema de información de acuerdo con los niveles prescritos en el Decreto Nº 85/2016/ND-CP del 1 de julio de 2016 del Gobierno sobre la garantía de la seguridad del sistema de información de acuerdo con los niveles y la Circular 12/2022/TT-BTTTT del 12 de agosto de 2022 del Ministro de Información y Comunicaciones.

Por tanto, según el despacho oficial enviado a la empresa de valores, el no garantizar la seguridad del sistema de información según el nivel es una violación a la ley y está sujeto a sanciones administrativas de acuerdo con los artículos 88 y 89 del Decreto No. 15/2020/ND-CP del 3 de febrero de 2020 del Gobierno que regula las sanciones por infracciones administrativas en los campos de correos, telecomunicaciones, radiofrecuencias, tecnología de la información y transacciones electrónicas.

Al mismo tiempo, el Sr. Phu también enfatizó que las sanciones actuales por incumplimiento de las normas de seguridad de la información son bastante leves y, en realidad, pueden considerarse menores que el daño cuando ocurre.

Sin embargo, si ocurre un incidente inesperado como el ocurrido recientemente en VNDirect, la multa puede ser pequeña, pero la reputación y el prestigio se verán muy afectados. En el futuro próximo se podría considerar aumentar las multas y exigir a las empresas que garanticen la seguridad de la información en la red.

El Decreto sobre sanciones administrativas por infracciones en el ámbito de la ciberseguridad ha sido consultado recientemente y se espera que se publique próximamente. En particular, en caso de violación de la protección de datos personales, la sanción administrativa propuesta podría llegar hasta el 5% de los ingresos totales del ejercicio anterior, o incluso la revocación de la licencia comercial por 1-3 meses.

Sr. Ngo Tuan Anh - Director General de SCS Cyber ​​​​Security Company, Vicepresidente de la Asociación de Seguridad de la Información de Vietnam. Foto: Trong Hieu.

Según el Sr. Ngo Tuan Anh, Director General de SCS Cyber ​​​​Security Company, Vicepresidente de la Asociación de Seguridad de la Información de Vietnam, las regulaciones para garantizar la seguridad de la información ahora están disponibles en la circular con instrucciones bastante claras, diferentes niveles de requisitos según cada nivel.

Por ejemplo, en el caso de una compañía de valores de nivel 3, se han definido las operaciones administrativas y técnicas. Las unidades deben cumplir con las normas en sus casos específicos. Al implementar correctamente las regulaciones legales, es fundamental garantizar su cumplimiento para evitar riesgos adicionales de ser manipuladas por incumplimiento de las mismas, enfatizó el Sr. Tuan Anh.

Al compartir las experiencias de los países, según el Sr. Tran Minh Quan, experto senior en seguridad de PwC, la investigación muestra que la mayoría de los países como el Reino Unido y los EE. UU. han establecido una unidad especializada para revisar y compilar estadísticas nacionales sobre ciberseguridad. A partir de ahí, proporcionar una forma de protección que incluya un marco de seguridad, apoyando a una unidad cuando es atacada y no sabe qué hacer. Este grupo de trabajo publica información en el portal, envía informes a las unidades para emitir advertencias para fortalecer la seguridad de la información y para que las unidades sepan que cuando son atacadas por piratas informáticos, deben tomar medidas específicas para recuperarse.