El pasado 31 de agosto, la Superintendencia de Bancos e Instituciones Financieras (SBIF) actualizó el Capítulo 20-8 de la Recopilación Actualizada de Normas (RAN), donde establece la obligación de información de incidentes operacionales. Esta resulta ser una importante actualización desde la última circular de enero de este año, al indicar en mayor detalle las obligaciones de información de los bancos tanto a la Superintendencia como a los usuarios afectados por incidentes de ciberseguridad. Uno de las aspectos que resulta de mayor interés es que se establece la obligación de mantener un sistema de alerta de incidentes entre los miembros de la industria y así las demás entidades puedan adoptar las medidas necesarias.
Entre sus novedades podemos destacar:
- Establece un plazo máximo de 30 minutos, desde de la ocurrencia del incidente, para enviar la información pertinente a la Superintendencia. Esto contrasta con el estándar anterior que establecía una obligación menos precisa de enviar la información tan pronto se identifique el incidente.
- Obliga a mantener informada a la Superintendencia de la situación en desarrollo, estableciendo un canal permanente de comunicación.
- Obliga a las instituciones realizar un reporte a la Superintendencia, al momento de inicio del incidente y otro al cierre del incidente, especificando la información requerida en cada caso.
- Los incidentes asociados a ciberseguridad deben ser compartidos por los bancos con el resto de la industria, a modo de proteger a los usuarios y al sistema en su conjunto. El principal objetivo de este mecanismo para compartir información es prevenir a los participantes de la industria bancaria sobre las amenazas de ciberseguridad, con el fin de que las demás entidades puedan tomar los resguardos pertinentes.
- Con este fin, se establece la obligación de mantener un sistema de alertas de incidentes, en el cual deberán reportar como mínimo, una breve descripción del tipo de amenaza, indicando los canales o servicios afectados y, cuando la información se encuentre disponible, la caracterización o identificación del software malicioso y de cualquier mecanismo de protección que se haya identificado.
Sin duda, este resulta ser un avance relevante en el contexto de la Política Nacional de Ciberseguridad, la cual contiene una serie de iniciativas legales adicionales que deberían entrar a discusión en los próximos meses.
Norma de la Superintendencia de Bancos e Instituciones Financieras
Para obtener más
información al respecto
puede contactarse con:
Cristián Riquelme
Socio
criquelme@az.local
Óscar Molina
Asociado Senior
omolina@az.local
