La RAN 20-10 sobre GestiĆ³n de la Seguridad de la informaciĆ³n y Ciberseguridad,
publicada por la CMF en diciembre de 2020, contiene disposiciones basadas en buenas prĆ”cticas que pretenden establecer un lineamiento mĆnimo en la gestiĆ³n de la seguridad de la informaciĆ³n y ciberseguridad de los bancos e instituciones financieras.
A continuaciĆ³n, pormenorizamos las principales conductas u obligaciones identificadas por esta normativa:
- Aprobar la estrategia institucional en materia de seguridad de la informaciĆ³n y ciberseguridad;
- Autorizar los recursos presupuestarios suficientes para mitigar los riesgos;
- Asegurar que la entidad mantenga un sistema de gestiĆ³n que contemple la administraciĆ³n especĆfica de estos riesgos (considerando mejores estĆ”ndares internacionales y complejidad de las operaciones);
- Definir una estructura organizacional con personal especializado e instancias colegiadas de alto nivel jerƔrquico;
- Disponer de una estructura de alto nivel para administraciĆ³n de crisis, con atribuciones reales delegadas por el Directorio para administrar los incidentes de alto impacto;
- Aprobar polĆticas de seguridad de la informaciĆ³n y ciberseguridad;
- Aprobar niveles mĆnimos de disponibilidad de servicios otorgados a travĆ©s de plataformas tecnolĆ³gicas;
- Informarse periĆ³dicamente de los riesgos, del cumplimiento de polĆticas y de la existencia de incidentes;
- Aprobar polĆticas de uso responsable de las TIC; y
- Ser informado, al menos semestralmente, de los resultados de pruebas de seguridad a la infraestructura tecnolĆ³gica (pentesting, ethical hacking), dejando registro de los acuerdos adoptados y acciones a seguir.
