2PSECURE
← Volver a Aprende
Diagnóstico 8 de junio de 2026 8 min de lectura Mario Egoavil

SBS Resolución 504-2021: cómo prepararse sin pánico

La 504 no pide milagros. Pide gobernanza, controles documentados y evidencia. Aquí cómo se ve estar listo cuando llega la inspección.

La Resolución SBS 504-2021 reordenó las expectativas de seguridad de la información para las empresas supervisadas por la Superintendencia de Banca, Seguros y AFP del Perú. Tres años después de su publicación, todavía vemos cajas municipales, financieras y aseguradoras llegando a la primera reunión con la misma pregunta:

“¿Estamos listos para la SBS?”

La respuesta corta es: depende menos de comprar tecnología nueva y más de tener escrito —y vivo— lo que ya se hace. Este artículo explica cómo se ve estar listo y, sobre todo, qué señales típicamente delatan a una institución que no lo está.

Qué pide realmente la SBS

A nivel arquitectónico, la 504-2021 se mueve en cuatro dimensiones grandes:

  1. Gobierno de la seguridad de la información — un órgano definido, con responsabilidades claras, que rinda cuentas al directorio. No es lo mismo “tenemos un CISO” que “el directorio recibe reportes mensuales documentados sobre el estado de seguridad.”
  2. Gestión de riesgos de ciberseguridad — identificar, evaluar, tratar y monitorear riesgos de forma continua. Esto incluye un inventario actualizado de activos, una matriz de riesgos viva (no un Excel del 2022), y un plan de tratamiento con responsables y fechas.
  3. Controles técnicos y operativos — los controles que los auditores pueden verificar con evidencia: gestión de identidades, manejo de llaves criptográficas, monitoreo continuo, protección de datos sensibles, gestión de vulnerabilidades, hardening, segregación de red.
  4. Resiliencia operativa — planes de continuidad y respuesta a incidentes que estén probados, no solo redactados. Un BCP que nadie ejecutó nunca no es un BCP, es un documento Word.

Cada una de estas dimensiones se mide en horizonte: dónde está hoy la institución, dónde debería estar al término del ejercicio actual, dónde al cierre del próximo.

Cinco señales de que no estás listo

En diagnósticos de madurez vemos los mismos cinco síntomas una y otra vez:

1. La matriz de riesgos no se actualizó este año

Si la matriz dice “última revisión: marzo 2024” y estamos en 2026, no es una matriz de riesgos, es un cuadro decorativo. El regulador espera evidencia de revisión periódica con cambios documentados.

2. El inventario de activos es un Excel que se cae

“Activos críticos” debería ser una lista viva conectada al CMDB, al SIEM, al proceso de cambios. Si es un Excel que tres personas mantienen “más o menos,” el control de cumplimiento se cae también.

3. No hay evidencia de ejecución de los planes

Tener un Plan de Respuesta a Incidentes es necesario. Pero la SBS espera evidencia de simulacros, postmortems, mejoras aplicadas. Un plan que nunca se ejecutó es indistinguible de no tenerlo.

4. Las llaves criptográficas no tienen procedimientos firmados

Si el HSM existe pero las ceremonias de carga, rotación y custodia no están documentadas con actas firmadas, esto es un hallazgo casi automático. La SBS no necesita auditar tu HSM en detalle — basta con pedir las actas y constatar que no existen.

5. El directorio no entiende lo que aprueba

El directorio firma el presupuesto y las políticas. Si en una reunión les preguntas qué nivel de riesgo asumieron al aprobar la última inversión, deberían poder responder en términos del marco de la institución. Si responden vaguedades o miran al CISO esperando que conteste, hay una brecha de gobierno que ningún control técnico tapa.

Cómo verse listo cuando llega la inspección

La preparación efectiva no es un proyecto, es una práctica continua. Pero hay un orden razonable para llegar:

  1. Sincerar el estado — un Maturity Assessment honesto contra los dominios de la resolución. No para impresionar, para tener un punto de partida real.
  2. Cerrar las brechas críticas en 0-3 meses — son típicamente las cosas más visibles: políticas faltantes, matriz desactualizada, ausencia de evidencia de ejecución.
  3. Fortalecer los controles técnicos en 3-12 meses — manejo de llaves, monitoreo, gestión de vulnerabilidades.
  4. Madurar el gobierno en 12-24 meses — reportería al directorio, métricas vivas, integración con riesgo operacional.

El error común es invertir todo el presupuesto en la capa 3 (tecnología) sin haber trabajado la capa 1 (estado real). Termina siendo presupuesto enterrado en herramientas que nadie sabe interpretar.

Qué hacer si la inspección es en seis meses

Si te queda menos de un año, el orden cambia:

  • Mes 1-2: actualizar lo obvio. Políticas vencidas, matriz de riesgos, inventario de activos. No tiene que ser perfecto, tiene que existir y estar fechado.
  • Mes 3-4: ejecutar al menos un simulacro de incidente y un test de continuidad. Documentar postmortem.
  • Mes 5-6: revisar evidencia con un par crítico externo — alguien que sepa cómo audita la SBS y te diga dónde encontrarían huecos.

No se trata de pasar la inspección a último minuto. Se trata de poder mostrar evidencia consistente de un sistema que funciona.

En 2PSECURE hacemos diagnósticos de madurez contra SBS 504-2021, PCI DSS v4.0.1 e ISO 27001:2022 con entregables ejecutables y roadmap a tres horizontes. Si tu institución se enfrenta a una inspección o quiere saber dónde está antes de que pregunte el regulador, conversemos sobre tu caso.

¿Conversamos?

Si tu organización está en una situación parecida, hablemos.

Una conversación técnica de 30 minutos, sin compromiso, para entender si tu caso encaja con lo que hacemos.

Contáctanos