La RAN 20-10 sobre Gestión de la Seguridad de la información y Ciberseguridad,

publicada por la CMF en diciembre de 2020, contiene disposiciones basadas en buenas prácticas que pretenden establecer un lineamiento mínimo en la gestión de la seguridad de la información y ciberseguridad de los bancos e instituciones financieras.

Una buena cantidad de estas disposiciones hace referencia al rol protagónico que el directorio debe asumir en la gestión de los riesgos de ciberseguridad, en diferentes instancias.
A continuación, pormenorizamos las principales conductas u obligaciones identificadas por esta normativa:
  • Aprobar la estrategia institucional en materia de seguridad de la información y ciberseguridad;
  • Autorizar los recursos presupuestarios suficientes para mitigar los riesgos;
  • Asegurar que la entidad mantenga un sistema de gestión que contemple la administración específica de estos riesgos (considerando mejores estándares internacionales y complejidad de las operaciones);
  • Definir una estructura organizacional con personal especializado e instancias colegiadas de alto nivel jerárquico;
  • Disponer de una estructura de alto nivel para administración de crisis, con atribuciones reales delegadas por el Directorio para administrar los incidentes de alto impacto;
  • Aprobar políticas de seguridad de la información y ciberseguridad;
  • Aprobar niveles mínimos de disponibilidad de servicios otorgados a través de plataformas tecnológicas;
  • Informarse periódicamente de los riesgos, del cumplimiento de políticas y de la existencia de incidentes;
  • Aprobar políticas de uso responsable de las TIC; y
  • Ser informado, al menos semestralmente, de los resultados de pruebas de seguridad a la infraestructura tecnológica (pentesting, ethical hacking), dejando registro de los acuerdos adoptados y acciones a seguir.
    Paulina Silva

    Abogada de la Universidad de Chile, Máster en Derecho Comercial con especialización en derecho informático de la Universidad de Melbourne, Australia. Reconocida especialista en protección de datos, contratación de tecnologías y ciberseguridad. Directora de la Alianza Chilena de Ciberseguridad y panelista frecuente en foros nacionales e internacionales de privacidad y tecnologías. Más sobre Paulina Silva

    #