Ley Chile - Circular Bancos 3633 (24-ene-2018) M. de Hacienda; Superintendencia de Bancos e Instituciones Financieras - Biblioteca del Congreso Nacional de Chile

La evolución de la industria financiera, particularmente la incorporación de las tecnologías de la información en la forma de generar, procesar y administrar sus activos de información, involucran nuevos riesgos que afectan a los procesos intrínsecos del negocio de la institución. En este ámbito la Ciberseguridad, concepto que comprende al conjunto de acciones para la protección de la información presente en el ciberespacio, así como de la infraestructura que la soporta, es fundamental para evitar los efectos adversos de sus riesgos y amenazas inherentes sobre la seguridad de la información y la continuidad del negocio.

En dicho contexto, el presente cambio normativo establece lineamientos mínimos que deben ser considerados por las instituciones a fin de gestionar la seguridad de sus activos de información sujetos a riesgos en el ciberespacio, entendido como el entorno que permite la interacción lógica, a través de la conexión de redes tecnológicas. Lo anterior también considera la necesidad de generar una base de incidentes de Ciberseguridad bajo un estándar común, que tiene por objeto establecer un lenguaje y nivel de información mínimo y homogéneo en la industria.

La debida adhesión de las entidades fiscalizadas a estos lineamientos y buenas prácticas será parte de la evaluación de gestión establecida en el Capítulo 1-13 de la Recopilación Actualizada de Normas, específicamente la letra C) del numeral 3.2 del Título II sobre la Administración del Riesgo Operacional.

Como consecuencia de los cambios señalados, se introducen los siguientes ajustes a los Capítulo 1-13 y 20-8 de la Recopilación Actualizada de Normas:

1. Capítulo 1-13

a) Se intercala lo siguiente como cuarto párrafo de la letra C) del numeral 3.2 del título II:

"Asimismo, es esencial que las instituciones cuenten con una clara definición, caracterización e identificación de los principales activos de información y de la infraestructura física que soporta y resguarda la seguridad de los mismos. En este ámbito, las entidades también deben gestionar la seguridad de sus activos de información expuestos a riesgos en el ciberespacio, entendido este como el entorno que permite la interacción lógica, es decir, no física, mediante la conexión de redes tecnológicas".

b) Se modifica la situación descrita en la duodécima viñeta del párrafo séptimo de la letra C) del numeral 3.2 del título II, quedando como sigue: "El banco cuenta con una estructura dedicada que permite administrar la seguridad de la información en general y de Ciberseguridad en particular, en términos de resguardar su confidencialidad, integridad y disponibilidad. Respecto a la gestión de la Ciberseguridad, la entidad al menos contempla los aspectos descritos en el Anexo N° 3 de este Capítulo y en el numeral 2 del Capítulo 20-8 de esta Recopilación.".

c) Se agrega el nuevo Anexo N° 3, que contiene los lineamientos de gestión que deben ser considerados en el ámbito de la Ciberseguridad.

2. Capítulo 20-8

Se reemplaza el Capítulo 20-8 "Comunicación inmediata de incidentes operacionales relevantes", por el nuevo Capítulo 20-8 "Información de Incidentes Operacionales Relevantes y Base de Datos de Incidentes de Ciberseguridad". El nuevo texto de este Capítulo, mantiene la obligación de informar a la Superintendencia los incidentes operacionales relevantes, y además establece las condiciones que se deben observar para generar y mantener una base de incidentes en el ámbito de la Ciberseguridad.

Se adjuntan las hojas de la Recopilación que contienen el texto del nuevo Capítulo 20-8 y las que reemplazan a las siguientes: hojas N°s 13, 14, 15, 16 y 17 del Capítulo 1-13 y las que contienen su nuevo Anexo N° 3; hoja N° 4 del Índice de Capítulos; y hojas N°s 6 y 11 del Índice por Materias.