Los contenidos de esta sección ya no se están actualizando y son parte del archivo de la ex SBIF. Más información en CMF Chile
La normativa será exigida a los bancos en el marco de su administración de riesgo operacional.
A partir de la constante evolución de la industria financiera en materias tecnológicas, y de la publicación en abril de 2017 de la Política Nacional de Ciberseguridad, la Superintendencia de Bancos e Instituciones Financieras (SBIF) emitió hoy una normativa que establece los requerimientos y lineamientos que deben seguir los bancos en materia de Ciberseguridad.
En particular, la normativa tiene como objetivo incorporar materias específicas de ciberseguridad, dentro de la gestión de riesgo operacional, mediante un nuevo anexo del Capítulo 1-13 y el N° 2 del Capítulo 20-8 de la Recopilación Actualizada de Normas
En forma adicional, el contenido de ciberseguridad se incorpora dentro de los lineamientos de educación financiera que se aplica para bancos, cooperativas de ahorro y crédito, sociedades de apoyo al giro, y emisores de tarjetas de pago.
A partir del presente cambio normativo, la Superintendencia incorporará, en sus labores de fiscalización de bancos, la evaluación de la gestión de la infraestructura crítica de ciberseguridad.
Esta contempla aquellos activos de información lógicos que son considerados críticos para el funcionamiento del negocio y del sistema financiero en su conjunto, así como la infraestructura física, hardware y sistemas tecnológicos que almacenan, administran y soportan estos activos y que, de no operar adecuadamente, exponen a la entidad a riesgos de integridad, disponibilidad y confidencialidad de la información. La gestión de la infraestructura crítica de Ciberseguridad es fundamental para el adecuado funcionamiento del sistema financiero, en el caso de eventuales ataques.
A su vez, las entidades bancarias deberán contar con una base de incidentes de Ciberseguridad, que tiene como objetivo establecer un lenguaje y nivel de información mínimo y homogéneo en la industria, como también permitir la gestión integral de los incidentes generados al interior de las entidades fiscalizadas.