ALERTA LEGAL: Gestión de seguridad de la información y ciberseguridad

El pasado lunes 6 de julio, la Comisión para el Mercado Financiero (“CMF”) emitió el informe normativo que crea y fija el nuevo capítulo 20-10 de la Recopilación Actualizada de Normas (“RAN”), respecto de la gestión de seguridad de la información y ciberseguridad, la que entrará en vigencia a partir del 1 de diciembre de 2020.

El objetivo principal de la normativa es entregar a las empresas bancarias, a sus filiales y a las sociedades de apoyo al giro bancarias, así como a los emisores y operadores de tarjetas de pago no bancarios, una serie de lineamientos y de mejores prácticas, que deben ser consideradas por las entidades en su proceso de gestión de la seguridad de la información y ciberseguridad.

De acuerdo a la nueva normativa, se entenderá por seguridad de la información, el conjunto de acciones para la preservación de la confidencialidad, integridad y disponibilidad de la información de la entidad. A su vez, la ciberseguridad comprenderá el conjunto de acciones para la protección de la información presente en el ciberespacio y de la infraestructura que la soporta, que tiene por objeto evitar o mitigar los efectos adversos de sus riesgos y amenazas inherentes, que puedan afectar la seguridad de la información y la continuidad del negocio de la institución.

Cabe señalar que la debida adhesión a los lineamientos dispuestos en esta norma, será parte de la evaluación de gestión que realiza la CMF a los bancos en el ámbito de los riesgos operacionales, atendiendo al volumen y complejidad de sus operaciones.

A continuación, se efectúa una breve descripción de estos lineamientos:

1) Elementos generales de gestión: En la evaluación de la gestión de la seguridad de la información y ciberseguridad que realiza la CMF, un elemento fundamental corresponde al rol del Directorio, en lo relativo a la aprobación de la estrategia institucional en esta materia y la autorización de los recursos presupuestarios suficientes para mitigar los riesgos asociados. En ese sentido, serán considerados como elementos necesarios para un adecuado sistema de gestión aspectos tales como:

  •  Definición de una estructura organizacional con personal especializado y dedicado e instancias colegiadas de alto nivel jerárquico, con atribuciones y competencias necesarias para gestionar la seguridad de la información y ciberseguridad.
  • Que dentro de la estructura organizacional se haya dispuesto una función de riesgo, independiente de las áreas generadoras de riesgos, encargada del diseño y mantención de un adecuado sistema de identificación, seguimiento, control y mitigación de los riesgos de seguridad de la información y ciberseguridad. Debe ser parte de esta estructura organizacional la función de un oficial de seguridad de la información y ciberseguridad a cargo de estas materias.
  • Que el Directorio haya dispuesto una estructura de alto nivel para la administración de crisis.
  • Que el Directorio haya aprobado políticas para la gestión de los riesgos de seguridad de la información y ciberseguridad que definan al menos, el alcance y los objetivos de la entidad respecto de estas materias. Estas políticas deben ser ampliamente difundidas al interior de la organización, revisadas y aprobadas al menos anualmente por esta instancia.

2) Proceso de gestión de riesgos de seguridad de la información y ciberseguridad: Este proceso debe considerar, al menos, la identificación, el análisis, la valoración, el tratamiento y la aceptación o tolerancia de los riesgos a que están expuestos los activos de información de la entidad, así como su monitoreo y revisión permanente. En línea con lo anterior, se deben considerar al menos los siguientes aspectos:

  • Identificación de sus activos de información de acuerdo con la definición y alcance contenido en la política de seguridad de la información y ciberseguridad.
  • Identificación de las amenazas que puedan dañar los activos de información, así como de sus vulnerabilidades.
  • Evaluación de los controles existentes de manera de conocer su efectividad y suficiencia.
  • Identificación de las consecuencias que puedan tener en los activos de información las pérdidas de confidencialidad, integridad y disponibilidad.
  • La realización de un proceso de análisis de riesgo, que considera elementos como la evaluación de la probabilidad de ocurrencia de incidentes y su consecuencia o impacto.

3) Elementos particulares a considerar para la gestión de la ciberseguridad: Un elemento esencial de este proceso de diligencia es la determinación de los activos críticos de ciberseguridad, esto es, aquellos activos de información lógicos que son considerados críticos para el funcionamiento del negocio. Un segundo elemento, se refiere a las funciones de protección de estos activos, la detección de las amenazas y vulnerabilidades, la respuesta ante incidentes y la recuperación de la operación normal de la entidad.


“El presente Boletín no constituye asesoría legal y el estudio Guerrero Olivos no será responsable por actos u omisiones de terceros basados en la información contenida en él”.

Contact Us

We're not around right now. But you can send us an email and we'll get back to you, asap.