Este tiempo de pandemia ha modificado en varios aspectos nuestro comportamiento, principalmente por el hecho de estar confinados por varios meses. Así, uno de los efectos que hemos visto es el aumento de la conectividad digital: en más de un 40% según estimaciones de la Subsecretaría de Telecomunicaciones. Además, se ha incrementado también el comercio electrónico, en más de un 100% de acuerdo a cifras entregadas por la Cámara de Comercio de Santiago (CCS), a partir de datos de transacciones realizadas con tarjetas de débito y crédito operadas por Transbank.
También hemos visto que el uso de los canales digitales de la banca y las transacciones a través de Internet continúan creciendo, junto con las ventas asociadas a tarjetas de crédito, las que que en mayo subieron en más de un 55%, de acuerdo al informe entregado por la Asociación de Bancos e Instituciones Financieras.
Todo lo anterior habla de cambios de hábitos, de acomodarse a una nueva realidad, la que también ha generado incentivos para que delincuentes informáticos busquen la manera de defraudar, enga- ñar, robar datos e información o atacar infraestructura y sistemas informáticos, principalmente por medio de phishing, malware y ransomware como técnicas de ataque.
El escenario legal
En esta área, surge la Ley Nº21.234 (publicada el pasado 29 de mayo, en el Diario Oficial), que establece un nuevo régimen de limitación de responsabilidad para titulares o usuarios de tarjetas de pago y transacciones electrónicas en caso de extravío, hurto, robo o casos de fraude, que antes se limitaba solo a los casos del uso de tarjetas de crédito. Sin embargo, esta regulación se orienta a situaciones “ex post” y no se hace cargo de medidas, obligaciones y procedimientos “ex ante”. Frente a esa situación, la Comisión para el Mercado Financiero acaba de publicar una nueva normativa para la Gestión de la Seguridad de la Información y Ciberseguridad, que se aplicará a los Bancos, sus filiales, Sociedades de Apoyo al Giro Bancario y Emisores y Operadores de Tarjetas de Pago.
Tal como indica en su sitio web, “la normativa, que comenzará a regir el 1° de diciembre de este año, establece los lineamientos y mejores prácticas que deben cumplir las entidades en la gestión de la seguridad de la información y ciberseguridad. Entre ellos, destaca la responsabilidad que tendrán los Directorios en la aprobación de las estrategias de ciberseguridad de sus instituciones”.
Esta normativa surge tras consulta pú- blica realizada y refunde, además, las disposiciones actualmente vigentes en ciberseguridad para estas instituciones, y le suma la gestión de la seguridad de la información. Con esto se busca lograr un equilibrio entre el uso de las Tecnologías de Información y el control de los riesgos subyacentes.
La estructura
El capítulo 20-10 de la Comisión para el Mercado Financiero, se divide en cuatro secciones:
• La primera trata sobre aspectos generales de gestión para las materias de seguridad de la información y ciberseguridad.
• La segunda señala lineamientos que deben considerar las instituciones en la implementación de un proceso de gestión de los riesgos para apoyar el sistema de seguridad de la información y ciberseguridad.
• La tercera, atendiendo la relevancia de los riesgos cibernéticos, define una especial diligencia para gestionarlos.
• La última sección indica consideraciones que deben tener las instituciones al formar parte relevante de la infraestructura crítica del país.
Lineamientos y mejores prácticas
Como objetivo central de la nueva normativa está el hecho de establecer una serie de lineamientos y mejores prácticas, fortaleciendo la gestión de los riesgos que afectan la seguridad de la información y ciberseguridad.
Algunas de ellas son:
• Definir rol del Directorio para la adecuada gestión, tanto de seguridad de la información como de ciberseguridad, otorgándole como responsabilidad la aprobación de la estrategia institucional, así como asegurar que mantenga un sistema de gestión de estos aspectos.
• Definición de las etapas mínimas de un proceso de gestión de riesgos de seguridad de la información y ciberseguridad.
• Considerando la relevancia de los riesgos cibernéticos, se establece que las entidades deben realizar una especial diligencia para gestionarlos.
• Las instituciones deben contar con políticas y procedimientos para el intercambio de información en esta materia de alertas e incidentes de ciberseguridad e identificar la infraestructura crítica de la industria financiera y del sistema de pago.
La Comisión para el Mercado Financiero será la que fiscalice la adhesión a sus lineamientos por parte de a las entidades.
Y, mientras tanto, se mantendrá vigente la actual normativa de ciberseguridad.
Ahora bien, creemos que es correcta y necesaria esta nueva regulación, entendiendo que las medidas de ciberseguridad no solo se radican en procedimientos y acciones de carácter informático, tal como está concebido actualmente. Ellas también deben avanzar hacia las buenas prácticas y lineamientos que se observan en sistemas como los que fomentan la ISO 27.001 y siguientes, en las que se determina un sistema de gestión de seguridad de la información, enfatizando también la importancia de un gobierno corporativo presente y responsable de lineamientos estratégicos, específicamente en materia de ciberseguridad y seguridad.
Además, hay que destacar la incorporación de medidas de protección considerando el ecosistema financiero, en una lógica de compartir e intercambiar información, tanto de alertas como incidentes, permitiendo un entorno colaborativo y con rápida reacción frente a riesgos de seguridad.
Finalmente, es necesario enfatizar que es importante seguir avanzando en buenas prácticas y fijar protocolos de manejo de incidentes y riesgos tanto a nivel de gestión de seguridad de la información como en materia de ciberseguridad.
