CMF pone en consulta norma que eleva exigencias en gestión de ciberseguridad para los bancos y emisores de tarjetas

CMF

Entre otros aspectos la normativa le otorga al directorio la aprobación de la estrategia institucional en esta materia.


La Comisión para el Mercado Financiero (CMF) publicó para consulta pública este lunes la normativa para la Gestión de la Seguridad de la Información y Ciberseguridad, que se aplicará a bancos, filiales bancarias, sociedades de apoyo al giro bancario y emisores y operadores de tarjetas de pago.

El nuevo Capítulo de la Recopilación Actualizada de Normas (RAN) para Bancos que se hace aplicable también a las entidades señaladas previamente, contiene una serie de disposiciones, basadas en las mejores prácticas internacionales, que deben ser consideradas para la gestión de la seguridad de la información y ciberseguridad, señaló la CMF.

La nueva normativa, que estará en consulta hasta el 27 de diciembre, permitirá que las entidades se encuentren mejor preparadas para prevenir y actuar frente a eventos operacionales relacionados a la seguridad de la información y ciberseguridad, agregó.

Secciones

La norma en consulta se divide en cuatro secciones:

- La primera sección establece lineamientos generales para la gestión de las materias de seguridad de la información y ciberseguridad. Entre ellos, destaca el rol que debe tener el directorio para la adecuada gestión, tanto de seguridad de la información como de ciberseguridad, otorgándole como responsabilidad la aprobación de la estrategia institucional en esta materia, así como asegurar que la entidad mantenga un sistema de gestión de la seguridad de la información y ciberseguridad, que contemple la administración específica de estos riesgos en consideración a las mejores prácticas internacionales existentes, entre otros aspectos.

- La segunda establece directrices que deben considerar las instituciones para la implementación de un proceso de gestión de los riesgos para apoyar el sistema de seguridad de la información y ciberseguridad. Así, se establecen las etapas mínimas de un proceso de gestión de riesgos de seguridad de la información y ciberseguridad.

- La tercera, atendiendo la relevancia de los riesgos cibernéticos, establece principalmente dos aspectos de relevancia en la gestión de la ciberseguridad.

Por un lado, la determinación de los activos críticos de ciberseguridad, esto es, aquellos activos de información lógicos que son considerados críticos para el funcionamiento del negocio, incluidos los componentes físicos tales como hardware y sistemas tecnológicos que almacenan, administran y soportan estos activos, los que, de no operar adecuadamente, exponen a la entidad a riesgos que afecten la confidencialidad, integridad y disponibilidad de la información.

Por otra parte, subraya la relevancia de las funciones de protección de estos activos, la detección de las amenazas y vulnerabilidades, la respuesta ante incidentes y la recuperación de la operación normal de la entidad.

- La última sección, contempla la importancia que las entidades cuenten con políticas y procedimientos para la identificación de aquellos activos que componen la infraestructura critica de la industria financiera y del sistema de pago, así como para el adecuado intercambio de información de incidentes con otros integrantes que son parte de esta infraestructura crítica.

Este nuevo capítulo de la RAN viene a complementar lo señalado en distintas normativas de la CMF, como son aquellas establecidas en el Capítulo 1-13 sobre la evaluación de gestión del riesgo operacional; el Capítulo 20-7 en lo que se refiere a los riesgos que las entidades asumen en la externalización de servicios; el Capítulo 20-8 sobre información de incidentes operacionales; y el Capítulo 20-9 sobre gestión de la continuidad del negocio.

Comenta

Los comentarios en esta sección son exclusivos para suscriptores. Suscríbete aquí.