Santiago, 01 de septiembre de 2018 – La Superintendencia de Bancos e Instituciones Financieras (SBIF) realizó una serie de modificaciones normativas sobre ciberseguridad que apuntan a contar con más y mejor información sobre incidentes de ciberseguridad en las instituciones financieras.
La actualización busca “fortalecer a la industria financiera, elevando los estándares de seguridad para transitar a un sistema financiero en que los clientes puedan contar con un acceso seguro, confiable y continuo a su dinero y productos financieros en todo momento”, según señaló la Superintendencia.
Los cambios perfeccionan el sistema de reporte de incidentes, estableciendo el mecanismo y la información requerida a partir del 1 de octubre próximo. Adicionalmente, se establece la obligación de designar un encargado de nivel ejecutivo para comunicarse con la Superintendencia en todo momento
Desde ahora será obligación informar oportunamente a los usuarios y clientes sobre los incidentes que afecten la calidad o continuidad de los servicios, la seguridad de sus datos personales o se trate de un hecho de público conocimiento.
También se establece la obligación de mantener un sistema de alerta de incidentes de Ciberseguridad entre los miembros de la industria, para que compartan parte de la información de los incidentes, y así las demás entidades puedan adoptar las medidas necesarias.
Adicionalmente la actualización hace de la Ciberseguridad un criterio especial de evaluación de la gestión de un banco. Se agregan modificaciones tendientes a que los Directorios se involucren directamente en estas medidas, incluida la obligación de pronunciarse sobre la gestión de la ciberseguridad al menos una vez al año. Se evaluará también el que la entidad cuente con una base de incidentes de Ciberseguridad.
Así, el Capítulo 20-8 sobre información de incidentes operacionales, indica:
La información deberá ser enviada mediante la casilla habilitada por esta Superintendencia a través de su Extranet, en cualquier horario, tanto en días hábiles como inhábiles, en el plazo máximo de 30 minutos luego de su ocurrencia.
Para estos efectos, la entidad deberá definir un funcionario encargado, quien realizará los reportes y enviará la información según lo indicado en este numeral. Esta persona o quien la reemplace deberán tener un nivel ejecutivo y ser designados por la institución tanto para este efecto, como para responder eventuales consultas por parte de este Organismo.
La información deberá ser reportada de acuerdo al siguiente esquema:
- Al momento de inicio del incidente. El reporte deberá incluir, al menos, los siguientes aspectos:
- Número único identificador del incidente (asignado por la SBIF)
- Nombre de la entidad informante
- Descripción del incidente
- Fecha y hora de inicio del incidente
- Causas posibles o identificadas
- Productos o servicios afectados
- Tipo y nombre de proveedor o tercero involucrado (si corresponde)
- Tipo y número estimado de clientes afectados
- Dependencias y/o activos afectados (si corresponde)
- Medidas adoptadas y en curso
- Otros antecedentes
El no contar con toda la información de los campos mencionados previamente no debe ser impedimento para el envío de la comunicación dentro del plazo definido en este numeral.
En los casos que este Organismo lo estime necesario, se podrá requerir a las instituciones un plan de recuperación.
- Al momento de cierre del incidente. Una vez cerrado el incidente, se deberá informar esta situación a través de la misma casilla. Dicho reporte deberá incluir, al menos, los siguientes aspectos:
- Número único identificador del incidente
- Nombre de la entidad informante
- Descripción del incidente
- Causas identificadas
- Fecha y hora de inicio del incidente
- Fecha de cierre del incidente
- Productos o servicios afectados
- Tipo y nombre de proveedor involucrado (si corresponde)
- Tipo y número de clientes afectados
- Dependencias y/o activos afectados (si corresponde)
- Medidas adoptadas
- Otros antecedentes
Adicionalmente, en los casos que este Organismo lo estime necesario, podrá requerir informes complementarios a la entidad (por ejemplo, informes forenses).
En tanto, el Capítulo 1-13, sobre clasificación de gestión y solvencia, señala que revelan una buena gestión, por ejemplo, situaciones o hechos tales como:
- La institución gestiona sus incidentes de Ciberseguridad, con el fin de detectar, investigar y generar acciones de mitigación del impacto de estos eventos, y resguardar la confidencialidad, disponibilidad e integridad de sus activos de información. El Directorio de la institución toma conocimiento regularmente de estos incidentes, sean estos materializados o no, y se pronuncia sobre ellos al menos una vez al año, con el fin de mejorar su gestión y prevención.
- La entidad cuenta con una base comprensiva de incidentes de Ciberseguridad, que registra los eventos que ponen en riesgo la seguridad de los activos de información presentes en el ciberespacio, identificados de manera individual. Esta base contempla, como mínimo, los campos solicitados mensualmente en el archivo que para este fin existe en el Manual de Sistema de Información de esta Superintendencia. La suficiencia de la base de incidentes debe ser parte de las revisiones de la función de auditoría interna.
