Noticias

/ Hasta el 27 de diciembre CMF recibe comentarios sobre norma “Gestión de la información y ciberseguridad”

20 de diciembre, 2019

Con fecha 25 de noviembre 2019 la Comisión para el mercado financiero (CMF) publicó en consulta la Ran 20-10, “Gestión de seguridad de la información y ciberseguridad”, con el objeto de recibir comentarios hasta el 27 de diciembre de 2019.

Dicha norma establece lineamientos mínimos y mejores prácticas aplicables a los bancos, filiales y sociedades de apoyo al giro bancario y emisores y operadores de tarjetas de pago no bancarios, en relación a los procesos de gestión de la seguridad de la información y ciberseguridad en el ámbito de la administración del riesgo operacional. El cumplimiento de esta norma será parte de la evaluación de gestión que realiza la CMF en relación con los riesgos operacionales.

Aspectos importantes a considerar:

1.Rol del directorio:

El directorio de las entidades reguladas por la Ran 20-10, debe aprobar una estrategia institucional y los recursos necesarios para mitigar los riesgos asociados. Por tanto, es responsabilidad del directorio asegurar que la entidad mantenga un sistema de gestión de la seguridad de la información y ciberseguridad, el que contemple a lo menos la administración especifica de estos riesgos, el personal especializado, la administración y plan de crisis, la aprobación de políticas para la gestión de riesgos, mapas de procesos, nivel de tolerancia, entre otras materias. Asimismo, el directorio debe asegurarse de ser informado en forma periódica y adecuadamente de los riesgos y del cumplimiento de las políticas y de la ocurrencia de incidentes.

2. Autoregulación-Compliance

Del análisis de la norma, es posible deducir la necesidad que la entidad disponga de políticas de gestión de riesgos definidas en razón del volumen y complejidad de la operación de la institución. Es decir, esta norma establece el estándar mínimo y la entidad tiene la necesidad de evaluar los riesgos en forma continua, disponiendo de: auditorías destinadas a verificar el cumplimiento de las políticas, gestión de incidentes, adoptando las medidas tendientes a aminorar sus efectos, como asimismo promoviendo la continuidad de las operaciones. Todo ello, con el fin último de proteger los activos de la compañía y evitar el incumplimiento normativo, lo cual no es sino un Modelo de Cumplimiento.

3. Resiliencia

Al menos anualmente la entidad debe aprobar un plan de continuidad del giro. (Ran 20-9).

4. Identificación de activos que componen la infraestructura critica de la industria financiera y del sistema de pago.

Informe Normativo Gestión de seguridad de la información y ciberseguridad

Ver Documento(469 KB)

Preguntas frecuentes ciberseguridad

Ver Documento(173 KB)

Presentación ciberseguridad

Ver Documento(556 KB)