La normativa será exigida a los bancos en el marco de su administración de riesgo operacional. Se recibirán comentarios hasta el lunes 8 de enero de 2018.
A partir de la constante evolución de la industria financiera en materias tecnológicas, y de la publicación en abril pasado de la Política Nacional de Ciberseguridad, la Superintendencia de Bancos e Instituciones Financieras (SBIF) publica hoy para comentarios una normativa que establece los requerimientos y lineamientos que deben seguir los bancos en materia de gestión de Ciberseguridad.
En particular, la normativa tiene como objetivo especificar que la gestión del riesgo operacional de las entidades bancarias, que está establecida en el Capítulo 1-13 de la Recopilación Actualizada de Normas, específicamente la letra C) del numeral 3.2 del Título II sobre la Administración del Riesgo Operacional, debe incorporar materias de ciberseguridad en general, y particularmente, avanzar en la definición de su infraestructura crítica de Ciberseguridad y en la generación de una base de incidentes sobre la materia.
Adicionalmente, y si bien no es materia de la consulta, esta Superintendencia incorporará dentro de sus Lineamientos de Educación Financiera, contenidos sobre Ciberseguridad y la necesidad de generar en sus clientes una cultura de riesgos en el ciberespacio que les permitan operar con mayor certeza y seguridad.
Para estos efectos, la Superintendencia de Bancos e Instituciones Financieras (SBIF) define la Ciberseguridad como el concepto que comprende al conjunto de acciones para la protección de la información presente en el ciberespacio, así como de la infraestructura que la soporta, que tiene por objeto evitar o mitigar los efectos adversos de sus riesgos y amenazas inherentes, sobre la seguridad de la información y la continuidad del negocio de la institución.
Detalle de la normativa
El cambio normativo actualiza y agrega al Capítulo 1-13 de la Recopilación Actualizada de Normas, específicamente la letra C) del numeral 3.2 del Título II sobre la Administración del Riesgo Operacional, los lineamientos mínimos que deben ser considerados por las instituciones bancarias a fin de gestionar la seguridad de sus activos de información sujetos a riesgos en el ciberespacio.
En particular, la normativa exige a los bancos implementar una adecuada gestión de la infraestructura crítica para efectos de Ciberseguridad. Esta infraestructura contempla aquellos activos de información lógicos que son considerados críticos para el funcionamiento del negocio, así como la infraestructura física, hardware y sistemas tecnológicos que almacenan, administran y soportan estos activos y que, de no operar adecuadamente, exponen a la entidad a riesgos de integridad, disponibilidad y confidencialidad de la información. La gestión de la infraestructura crítica de Ciberseguridad es fundamental para el adecuado funcionamiento del sistema financiero, en el caso de eventuales ataques.
Además, se exige que los bancos cuenten con una base de incidentes de Ciberseguridad, la cual consiste en sistemas, procedimientos y mecanismos de gestión que permitan identificar, registrar, evaluar, controlar, mitigar, monitorear y reportar incidentes operacionales relacionados con la Ciberseguridad. Esta base tiene como objetivo establecer un lenguaje y nivel de información mínimo y homogéneo en la industria, como también permitir la gestión integral de los incidentes generados al interior de las entidades fiscalizadas.
La nueva norma permanecerá en consulta pública hasta el lunes 8 de enero de 2018. Los comentarios deben ser ingresados en la sección Normativa en Trámite del sitio web institucional.