Noticias

CMF: Norma para la gestión de la seguridad de la información y ciberseguridad 2020

julio 9, 2020
La Comisión para el Mercado Financiero publicó la nueva normativa para la gestión de la seguridad de la información y la ciberseguridad, la cual establece los lineamientos y mejores prácticas que deben cumplir entidades en la gestión de esta materia. ”El objetivo principal de la normativa es entregar a las empresas bancarias, así como a […]

La Comisión para el Mercado Financiero publicó la nueva normativa para la gestión de la seguridad de la información y la ciberseguridad, la cual establece los lineamientos y mejores prácticas que deben cumplir entidades en la gestión de esta materia.

”El objetivo principal de la normativa es entregar a las empresas bancarias, así como a sus filiales y a las sociedades de apoyo al giro bancarias, y a los emisores y operadores de tarjetas de pago no bancarios, una serie de lineamientos y de mejores prácticas en esta materia, que deben ser consideradas por las entidades en su proceso de la gestión de la seguridad de la información y ciberseguridad, dando con ello cumplimiento a una iniciativa estratégica”, declara el informe emitido este martes por la CMF.

Además destaca la responsabilidad que tendrán los Directorios en la aprobación de estrategias de ciberseguridad de sus instituciones. 

El aumento de las operaciones digitales implica mayores riesgos operacionales los cuales deben ser adecuadamente administrados, con el fin de lograr un equilibrio entre el uso de las tecnologías de la información y el control de los riesgos asociados.

Estructura de la norma

1. Aspectos generales de gestión para las materias de seguridad de la información y ciberseguridad

Se otorgan lineamientos específicos respecto del rol que debe tener el Directorio para la adecuada gestión, tanto de seguridad de la información como de ciberseguridad, otorgándole como responsabilidad la aprobación de la estrategia institucional en esta materia. Además, los Directorios deberán asegurar que la entidad mantenga un sistema de gestión de la seguridad de la información y ciberseguridad, que contemple la administración específica de estos riesgos en consideración a las mejores prácticas internacionales existentes, entre otros aspectos.

2. Actividades a desarrollar por las instituciones para identificar, controlar y monitorear los riesgos de seguridad y ciberseguridad

Los bancos e instituciones financieras a quienes les aplican las presentes disposiciones deberán definir las etapas mínimas de un proceso de gestión de riesgos de seguridad de la información y ciberseguridad, considerando al menos: la identificación, análisis, valoración, tratamiento y la aceptación de los riesgos a que están expuestos los activos de información, así como su monitoreo y revisión permanente.

3. Elementos particulares a considerar en la gestión de los riesgos de ciberseguridad

Se establece la necesidad de que las entidades definan sus activos críticos, así como las funciones de protección de éstos, la detección de las amenazas y vulnerabilidades, la respuesta ante incidentes y la recuperación de la operación normal de la entidad.

4. Gestión de la infraestructura crítica de ciberseguridad del país

Las entidades deberán contar además, con políticas y procedimientos para la identificación de aquellos activos que componen la infraestructura crítica de la industria financiera y del sistema de pagos, y para el adecuado intercambio de información técnica de incidentes que afecten o pudieran afectar la ciberseguridad de la entidad.

¿Cómo se fiscalizará el cumplimiento de la norma?

”La adhesión a sus lineamientos será parte de la evaluación de gestión que realiza esta Comisión a las entidades fiscalizadas en el ámbito de los riesgos operacionales, atendiendo al volumen y complejidad de sus operaciones”, señala el escrito.

Con la modificación normativa, las entidades financieras a quiénes les aplica tendrán un marco de referencia que contempla las buenas prácticas en materias de seguridad de la información y ciberseguridad, lo que deriva en mejoras para contar con una adecuada gestión de su negocio, así como anticiparse de manera apropiada frente a posibles escenarios adversos, lo que podría implicar ahorro por concepto de disminución de la probabilidad en ciberataques y sus impactos por la materialización de éstos.

Adicionalmente, les otorga claridad de los elementos que resultan esenciales para esta Comisión en estos ámbitos, no solo para efectos del
cumplimiento normativo, sino que también para su adecuada gestión.

Las instrucciones establecidas en la presente Norma de Carácter General regirán a contar del 1 de diciembre de 2020”, concluye.

El documento oficial señala en extenso el diagnóstico, estudio y recomendaciones internacionales con ejemplos de jurisdicciones extranjeras, además de explicar el marco vigente y las propuestas normativas. ¿Te gustaría leer el documento completo? Haz click en el siguiente botón.

Comparte este Artículo

Artículos relacionados