La Comisión para el Mercado Financiero acaba de publicar nueva normativa para la Gestión de la Seguridad de la Información y Ciberseguridad, la que se aplicará a los Bancos, sus filiales, Sociedades de Apoyo al Giro Bancario y Emisores y Operadores de Tarjetas de Pago.
Tal como indica en su sitio web, «la normativa, que comenzará a regir el 1 de diciembre de este año, establece los lineamientos y mejores prácticas que deben cumplir las entidades en la gestión de la seguridad de la información y ciberseguridad. Entre ellos, destaca la responsabilidad que tendrán los Directorios en la aprobación de las estrategias de ciberseguridad de sus instituciones».
Esta normativa surge tras consulta pública realizada y refunde además las disposiciones actualmente vigentes en ciberseguridad existentes para estas instituciones y le suma la gestión de la seguridad de la Información, buscando lograr un equilibrio entre el uso de las tecnologías de la información y el control de los riesgos subyacentes.
El capítulo 20-10 de la CMF, se divide en 4 secciones.
- La primera trata de aspectos generales de gestión para las materias de seguridad de la información y ciberseguridad.
- La segunda señala lineamientos que deben considerar las instituciones en la implementación de un proceso de gestión de los riesgos para apoyar el sistema de seguridad de la información y ciberseguridad.
- La tercera, atendiendo la relevancia de los riesgos cibernéticos, define una especial diligencia para gestionarlos.
- La última sección, indica consideraciones que deben tener las instituciones al formar parte relevante de la infraestructura crítica del país.
Como objetivo central de la nueva normativa, es establecer una serie de lineamientos y mejores prácticas, fortaleciendo la gestión de los riesgos que afectan la seguridad de la información y ciberseguridad.
Algunas de ellas son:
Definir rol del Directorio para la adecuada gestión, tanto de seguridad de la información como de ciberseguridad, otorgándole como responsabilidad la aprobación de la estrategia institucional, como asegurar que mantenga un sistema de gestión de la seguridad de la información y ciberseguridad.
• Definición de la etapas mínimas de un proceso de gestión de riesgos de seguridad de la información y ciberseguridad.
• Considerando la relevancia de los riesgos cibernéticos, se establece que las entidades deben realizar una especial diligencia para gestionarlos.
• Las instituciones deben contar con políticas y procedimientos para el intercambio de información en esta materia de alertas e incidentes de ciberseguridad e identifique la infraestructura critica de la industria financiera y del sistema de pago.
La adhesión a sus lineamientos será fiscalizable por parte de la CMF a las entidades y mientras tanto se mantendrán vigentes la actual normativa de ciberseguridad.
Importante seguir avanzando en buenas prácticas y fijar protocolos de manejo de incidentes y riesgos frente a gestión de seguridad de la Información como en materia de ciberseguridad. Más en un momento como el actual, en que producto de la pandemia, el uso de app de bancos por usuarios se han incrementado más de 50%, han aumentado las ventas de comercio electrónico en más de 100% y han aumentado los ciberataques, intentos de engaños y defraudaciones y ataques de ransomware a nivel mundial y local.
