La RAN 20-10 sobre Gestión de la Seguridad de la información y Ciberseguridad, publicada por la CMF en diciembre de 2020, contiene disposiciones basadas en buenas prácticas que pretenden establecer un lineamiento mínimo en la gestión de la seguridad de la información y ciberseguridad de los bancos e instituciones financieras.
Una buena cantidad de estas disposiciones hace referencia al rol protagónico que el directorio debe asumir en la gestión de los riesgos de ciberseguridad, en diferentes instancias.
A continuación, pormenorizamos las principales conductas u obligaciones identificadas por esta normativa:
Aprobar la estrategia institucional en materia de seguridad e la información y ciberseguridad;
Autorizar los recursos presupuestarios suficientes para mitigar los riesgos;
Asegurar que la entidad mantenga un sistema de gestión que contemple la administración especifica de estos riesgos (considerando mejores estándares internacionales y complejidad de las operaciones);
Definir una estructura organizacional con personal especializado e instancias colegiadas de alto nivel jerárquico;
Disponer de una estructura de alto nivel para administración de crisis, con atribuciones reales delegadas por el Directorio para administrar los incidentes de alto impacto;
Aprobar políticas de seguridad de la información y ciberseguridad;
Aprobar niveles mínimos de disponibilidad de servicios otorgados a través de plataformas tecnológicas;
Informarse periódicamente de los riesgos, del cumplimiento de políticas y de la existencia de incidentes;
Aprobar políticas de uso responsable de las TIC; y
Ser informado, al menos semestralmente, de los resultados de pruebas de seguridad a la infraestructura tecnológica (pentesting, ethical hacking), dejando registro de los acuerdos adoptados y acciones a seguir.