Luego de una consulta pública realizada desde Noviembre del 2019, la Comisión para el Mercado Financiero (CMF) resolvió mediante su circular 3255 el acuerdo que incorpora a la recopilación actualizada de normas de bancos el nuevo capítulo 20-10 sobre gestión de la seguridad de la información y ciberseguridad.
Dicho capítulo contiene los lineamientos mínimos para la gestión de la seguridad de la información y ciberseguridad, basadas en las buenas prácticas a cumplir por las entidades bancarias, filiales, sociedades de apoyo al giro bancario, y emisores y operadores de tarjetas de pago no bancarios.
Así, en primer lugar, señala los elementos generales necesarios para un adecuado sistema de gestión bajo la responsabilidad del Directorio, el que contempla aspectos tales como la definición de una estructura organizacional adecuada y políticas para la gestión de los riesgos de seguridad de la información y ciberseguridad, así como políticas de conducta y difusión interna. En este sentido, previene que los sistemas que se implementen deben asegurar el cumplimiento de las leyes y normativas vigentes, entre las que se encuentran, por ejemplo, la protección de los datos de carácter personal y los derechos de propiedad intelectual, lo que deberán exigir a su vez a sus proveedores.
Asimismo, indica el apropiado proceso de gestión de los riesgos, el que debe considerar, al menos, la identificación, el análisis, la valoración, el tratamiento y la aceptación o tolerancia de los riesgos y amenazas a que están expuestos los activos de información de la entidad, así́ como su monitoreo y revisión permanente.
De forma particular despliega en forma detallada las materias de Protección de los activos críticos de ciberseguridad y detección de amenazas y vulnerabilidades y la Respuesta y recuperación de las actividades ante incidentes como elementos particulares a considerar para la gestión de la ciberseguridad, desarrollando un listado de acciones para dar cumplimiento a dichos requisitos.
Por último, llama a las entidades a que cuenten con políticas y procedimientos para la identificación de aquellos activos que componen la infraestructura critica de la industria financiera y del sistema de pagos, así́ como para el adecuado intercambio de información técnica de incidentes que afecten o pudieran afectar la ciberseguridad de la entidad, con otros integrantes que son parte de esta infraestructura critica, cuidando siempre de cumplir con las exigencias legales de secreto y reserva legal, y de confidencialidad de la información personal de los clientes, procurando la realización de pruebas conjuntas de determinados escenarios de riesgo.
Finalmente las instrucciones establecidas en el nuevo Cap. 20-10 regirán a contar del 1 de diciembre de 2020.
Para obtener más información puede contactar a:
Eugenio Gormáz | Socio | egormaz@az.local
Óscar Molina | Director de TI, Privacidad y Medios | omolina@az.local
Andrea Céspedes | Asociada | acespedes@az.local
