La RAN 20-10 sobre Gestión de la Seguridad de la información y Ciberseguridad,
publicada por la CMF en diciembre de 2020, contiene disposiciones basadas en buenas prácticas que pretenden establecer un lineamiento mínimo en la gestión de la seguridad de la información y ciberseguridad de los bancos e instituciones financieras.
A continuación, pormenorizamos las principales conductas u obligaciones identificadas por esta normativa:
- Aprobar la estrategia institucional en materia de seguridad de la información y ciberseguridad;
- Autorizar los recursos presupuestarios suficientes para mitigar los riesgos;
- Asegurar que la entidad mantenga un sistema de gestión que contemple la administración específica de estos riesgos (considerando mejores estándares internacionales y complejidad de las operaciones);
- Definir una estructura organizacional con personal especializado e instancias colegiadas de alto nivel jerárquico;
- Disponer de una estructura de alto nivel para administración de crisis, con atribuciones reales delegadas por el Directorio para administrar los incidentes de alto impacto;
- Aprobar políticas de seguridad de la información y ciberseguridad;
- Aprobar niveles mínimos de disponibilidad de servicios otorgados a través de plataformas tecnológicas;
- Informarse periódicamente de los riesgos, del cumplimiento de políticas y de la existencia de incidentes;
- Aprobar políticas de uso responsable de las TIC; y
- Ser informado, al menos semestralmente, de los resultados de pruebas de seguridad a la infraestructura tecnológica (pentesting, ethical hacking), dejando registro de los acuerdos adoptados y acciones a seguir.