El 1 de diciembre del año 2020, la Comisión para el Mercado Financiero Chileno (CMF) publicó la RAN 20-10, un nuevo capítulo que trata sobre el riesgo operacional, la gestión de la Seguridad de la Información y la Ciberseguridad para determinadas empresas en Chile.
Se trata, por tanto, de una nueva norma para la gestión de la seguridad de la información y de la ciberseguridad que complementa y completa a otras normas y disposiciones vigentes y publicadas también por la CMF (Capítulo 1-13 y Anexo N°3).
La RAN 20-10 tiene como objetivo fundamental fortalecer la gestión de los riesgos e impulsar el uso de las tecnologías en las instituciones, pero siempre bajo un marco confiable que aporte mayor seguridad.
En definitiva, la RAN 20-10 ha sido publicada para resguardar la integridad, confidencialidad y disponibilidad de la información, para lo cual, ha tomado como referencia a normas ya conocidas, como la ISO 27001 o la ISO 22301, de Continuidad del Negocio.
¿A qué empresas afecta y qué estructura tiene?
Esta normativa, la RAN 20-10, aplicará fundamentalmente a Bancos, Filiales, Sociedades de Apoyo al Giro Bancario y a los Emisores y Operadores de Tarjetas de Pago, e indica en su texto que:
“Contiene disposiciones, basadas en buenas prácticas, que deben ser consideradas como lineamientos mínimos a cumplir por las entidades para la gestión de la seguridad de la información y ciberseguridad”
Resumiendo lo anterior, la RAN20-10 procura ofrecer una serie de lineamientos y de mejores prácticas respecto de seguridad de la información y ciberseguridad a las empresas afectadas por esta normativa, de manera que puedan añadirlos a su proceso de gestión.
La CMF fiscalizará el cumplimiento de la norma, por lo que la adhesión a los mencionados lineamientos formará parte de la evaluación de gestión que se realizará a estas entidades, siempre atendiendo al volumen y complejidad de sus operaciones.
A estas alturas, no sorprende que se generen este tipo de legislaciones a nivel mundial, y como ejemplo el Reglamento DORA en Europa, que afectará también a entidades del sector financiero.
Puedes ver el artículo completo haciendo clic aquí.
En cuanto a la estructura, la RAN 20-10 está dividida en 4 apartados o secciones:
Elementos generales de gestión
Especial importancia al rol del Directorio en la evaluación de la gestión de la seguridad de la información y ciberseguridad y a la inclusión de dichas cuestiones tanto en la estrategia institucional como en los recursos presupuestarios autorizados para dicho fin (los cuales, deben ser suficientes para mitigar los riesgos asociados).
Proceso de gestión de riesgos de seguridad de la información y ciberseguridad
En este apartado, se describen cuáles son las actividades que deben desarrollar las empresas para identificar, controlar y monitorear los riegos derivados de la ciberseguridad y de las seguridad de la información.
Elementos particulares a considerar para la gestión de la ciberseguridad
En este caso, la norma RAN 20-10 identifica dos elementos esenciales que tienen que ser considerados en la gestión de la ciberseguridad:
- La protección de los activos críticos de ciberseguridad y detección de amenazas y vulnerabilidades: todos aquellos que sean críticos para el funcionamiento del negocio, incluidos componentes físicos (hardware y sistemas tecnológicos).
- Respuesta y recuperación de las actividades ante accidentes: hace referencia a la capacidad para proteger dichos activos, a la detección de amenazas y vulnerabilidades, así como la respuesta ante incidentes y su capacidad de recuperación.
Gestión de la infraestructura crítica de ciberseguridad del país
Las entidades afectadas por la normativa, están directamente relacionadas con la red financiera de Chile, por lo que son considerados como actores relevantes de la infraestructura crítica del país.
Es por ello, que es muy importante que dichas entidades identifiquen los activos que forman parte de la infraestructura crítica, para lo cual tendrán que elaborar políticas y procedimientos acordes.
Obligaciones y conductas de la RAN 20-10
Para concluir, os dejamos un resumen de las principales obligaciones o conductas que se han identificado de esta norma:
- Incluir y aprobar la estrategia institucional para ciberseguridad y seguridad de la información.
- Incluir y autorizar presupuestos suficientes para mitigar los riesgos identificados.
- Mantener un Sistema de Gestión que permita gestionar los riesgos relacionados.
- Definir e incluir en la estructura organizacional con personal especializado.
- Estipular una estructura de alto nivel para la administración de las crisis, con atribuciones reales delegadas por el Directorio para administrar los incidentes de alto impacto.
- Definir y aprobar políticas de seguridad de la información y ciberseguridad, así como de uso responsable de las TIC.
- Establecer unos niveles mínimos de disponibilidad de servicios mediante plataformas tecnológicas.
- Mantenerse informado continuamente sobre los riesgos, cumplimiento e incidentes detectados.
- Mínimo semestralmente, informar de los resultados de las pruebas de seguridad, como el pentesting o el hacking ético, y dejar constancia en forma de registro de las acciones a seguir.
En Ingertec estamos cualificados y capacitados para ayudar a las empresas chilenas en la adaptación a la RAN 20-10, porque, además nos avalan más de 20 años de experiencia y muchos clientes que han confiado en nosotros en su camino hacia la máxima seguridad de la información. ¡Contáctanos!
