El pasado 1 de diciembre de 2020 entró en vigencia el nuevo capítulo 20-10 de la Recopilación Actualizada de Normas de la Comisión para el Mercado Financiero (“CMF”), sobre gestión de seguridad de la información y ciberseguridad (la “Nueva Normativa”), cuyas principales disposiciones pueden resumirse como sigue:
Ámbito de aplicación
La Nueva Normativa es aplicable a bancos, sus filiales y sociedades de apoyo al giro, cooperativas de ahorro y crédito fiscalizadas por la CMF y emisores y operadores de tarjetas de pago (las “Entidades Fiscalizadas”).[1]
Definiciones
Considerando el carácter eminentemente técnico de la materia, la CMF ha optado por definir una serie de conceptos utilizados en la Nueva Normativa, incluyendo “ciberespacio”, “ciberseguridad”, “ciberincidentes”, “denegación de servicios” e incluso “información”.
Elementos generales de gestión
La Nueva Normativa entrega al Directorio de las Entidades Fiscalizadas un rol fundamental en estas materias, debiendo aprobar la estrategia institucional, un presupuesto adecuado para mitigación de riesgo y la mantención de un sistema de gestión de seguridad de la información y ciberseguridad, conforme a las mejores prácticas internacionales existentes.
La Nueva Normativa establece, en forma no taxativa, una serie de elementos que serán considerados como necesarios para un adecuado sistema de gestión de tales aspectos.
Gestión de riesgos
La Nueva Normativa establece, como lineamientos mínimos de gestión de riesgos vinculados a estas materias, al menos, la identificación, el análisis, la valoración, el tratamiento y la aceptación o tolerancia de los riesgos a que están expuestos los activos de información de la entidad, así como su monitoreo y revisión permanente.
Elementos particulares para la gestión de la ciberseguridad
Considerando su importancia, la Nueva Normativa trata en forma particular dos aspectos que las Entidades Fiscalizadas deben considerar en sus procesos de gestión:
- La identificación de los activos críticos de la industria financiera y del sistema de pagos, y el intercambio de información técnica de incidentes de ciberseguridad con otros integrantes de esta infraestructura crítica, estableciendo políticas para ello, y
- la respuesta y recuperación de las actividades ante incidentes.
Esta Nueva Normativa fue dictada con fecha 6 de julio de 2020, luego de un proceso de consulta pública iniciado por la CMF.
[1] Por disponerlo así: (i) La circular Nº 8 de la CMF, para filiales de bancos; (ii) la circular Nº 3 de la CMF, para sociedades de apoyo al giro, (iii) la circular Nº 108 de la CMF, para cooperativas de ahorro y crédito fiscalizadas por la CMF y (iv) la Circular Nº 2 de la CMF, para emisores y operadores de tarjetas de pago, respectivamente.
