RAN 20-10: Gestión de Seguridad de la Información y Ciberseguridad en Bancos

El Capítulo 20-10 de la Recopilación Actualizada de Normas (RAN) de la CMF, que dictó la Circular N° 2.261 del 6 de julio de 2020 y rige desde el 1 de diciembre de 2020, consolida el marco de gestión de seguridad de la información y ciberseguridad para los bancos que fiscaliza la Comisión para el Mercado Financiero.

Ámbito de aplicación

El Capítulo 20-10 contiene disposiciones basadas en buenas prácticas, que las entidades fiscalizadas por la CMF deben considerar como lineamientos mínimos para gestionar la seguridad de la información y la ciberseguridad. La norma define la seguridad de la información como el conjunto de acciones para preservar la confidencialidad, integridad y disponibilidad de la información de la entidad. Define la ciberseguridad como la protección de la información presente en el ciberespacio y de la infraestructura que la soporta, con el objeto de evitar o mitigar los efectos adversos de los riesgos y amenazas inherentes.

La adhesión al RAN 20-10 forma parte de la evaluación de gestión que la CMF aplica a los bancos en el ámbito de los riesgos operacionales, según el volumen y la complejidad de sus operaciones. El capítulo complementa otras normas del organismo, entre ellas el Capítulo 1-13 sobre evaluación de gestión del riesgo operacional, el Capítulo 20-7 sobre externalización de servicios, el Capítulo 20-8 sobre información de incidentes operacionales y el Capítulo 20-9 sobre gestión de la continuidad del negocio.

Elementos generales de gestión

El Numeral 2 sitúa al Directorio en el centro del sistema de gestión de seguridad de la información y ciberseguridad. La CMF espera que el Directorio cumpla las siguientes funciones:

  • Aprobar la estrategia institucional y autorizar recursos presupuestarios suficientes para mitigar los riesgos asociados, acordes con el volumen y complejidad de la entidad.
  • Definir una estructura organizacional con personal especializado y dedicado, instancias colegiadas de alto nivel y un oficial de seguridad de la información y ciberseguridad, con segregación funcional adecuada.
  • Disponer una función de riesgo independiente de las áreas que generan los riesgos, a cargo del diseño y la mantención del sistema de identificación, seguimiento, control y mitigación.
  • Disponer una estructura de alto nivel para administrar crisis, con atribuciones administrativas delegadas y canales de comunicación que permitan informar oportunamente a las autoridades y a las partes interesadas.
  • Aprobar políticas de gestión de riesgos que definan alcance, tolerancia al riesgo, inventario de activos, criterios de clasificación y niveles mínimos de disponibilidad de servicios, y revisarlas al menos una vez al año.
  • Promover una cultura de riesgos mediante planes formales de difusión, capacitación y concientización, e incluir al personal externo que preste servicios a la entidad.
  • Asegurar auditorías periódicas al proceso de gestión de seguridad de la información y ciberseguridad, con el alcance necesario sobre el cumplimiento de las políticas y la eficacia de los procedimientos y controles.

Proceso de gestión de riesgos de seguridad de la información y ciberseguridad

El Numeral 3 exige un proceso formal de gestión de riesgos que cubra la identificación, el análisis, la valoración, el tratamiento y la aceptación o tolerancia de los riesgos a que están expuestos los activos de información, con monitoreo y revisión permanentes. Como mínimo, el proceso debe considerar lo siguiente:

  • Identificar los activos de información, con su ubicación física y función.
  • Identificar amenazas y vulnerabilidades, con información que se refuerza desde fuentes internas y externas.
  • Evaluar los controles existentes, con su efectividad y suficiencia.
  • Analizar las consecuencias de las pérdidas de confidencialidad, integridad y disponibilidad.
  • Valorar el riesgo frente a criterios y tolerancia que se hayan definido antes.
  • Un plan de tratamiento del riesgo que fije controles para reducir, aceptar, evitar o transferir los riesgos priorizados.
  • Comunicar formalmente los riesgos a la organización.
  • Revisar el proceso de gestión de riesgos al menos una vez al año, para identificar ajustes en las metodologías o herramientas que se utilizan.

Elementos específicos para la gestión de la ciberseguridad

El Numeral 4 exige a las entidades identificar sus activos críticos de ciberseguridad y cubrir el ciclo completo proteger → detectar → responder → recuperar. En particular, la CMF espera lo siguiente:

Protección y detección (4.1)

  • Un inventario de activos críticos de ciberseguridad, clasificados por confidencialidad, integridad y disponibilidad.
  • Procesos para gestionar el cambio, las capacidades, las configuraciones, la obsolescencia tecnológica y los parches de la infraestructura TI.
  • Proteger y segmentar las redes con herramientas complementarias: firewalls, WAF, sistemas de prevención de intrusos (IPS), DLP, anti-denegación de servicios, filtrado de correo y anti-malware.
  • Controles para dispositivos móviles, trabajo a distancia e IoT; gestión de identidades y de acceso físico y lógico; y monitoreo de la actividad sobre activos críticos y cuentas privilegiadas.
  • Normas y procedimientos de cifrado que definan la información a proteger, los algoritmos autorizados y los controles para la transmisión y el almacenamiento.
  • Un proceso para administrar respaldos, con pruebas de restauración al menos una vez al año.
  • Un Security Operation Center (SOC), propio o externo, que opere 24/7 y que prevenga, detecte, evalúe y responda a amenazas e incidentes de ciberseguridad.
  • Pruebas regulares de seguridad, con pentesting y ethical hacking incluidos, cuyos resultados se reportan al Directorio al menos cada semestre.

Respuesta y recuperación (4.2)

  • Planes de respuesta y de crisis que se prueben al menos una vez al año, con un esquema de escalamiento a la alta administración según la severidad.
  • Un plan de comunicaciones para incidentes de alto impacto, que lidere la alta administración y que alcance a partes interesadas internas y externas.
  • Un proceso independiente de análisis forense, que identifique, recopile, adquiera, examine y analice la evidencia digital, con una cadena de custodia adecuada.
  • Una base de incidentes detallada y una base de lecciones aprendidas, que permitan afinar la respuesta y apoyar la toma de decisiones ante nuevos eventos.
  • Autoevaluaciones al menos una vez al año del cumplimiento de las políticas internas, la normativa regulatoria y las mejores prácticas de ciberseguridad.

Gestión de la infraestructura crítica de ciberseguridad del país

El Numeral 5 trata a las entidades fiscalizadas como actores relevantes de la infraestructura crítica del país. Siguiendo la definición de la Política Nacional de Ciberseguridad, los bancos deben identificar los activos que componen la infraestructura crítica de la industria financiera y del sistema de pagos, compartir información técnica de incidentes con otros integrantes del sistema (siempre que respeten el secreto y reserva legal y la confidencialidad de los datos personales de los clientes) y participar en pruebas conjuntas de escenarios de riesgo que pudieran afectar el funcionamiento del sistema financiero.

Relación con la Ley Marco de Ciberseguridad 21.663

El RAN 20-10 es anterior a la Ley 21.663, pero opera en paralelo con ella. La CMF mantiene su mandato de supervisión sobre los bancos, y la Agencia Nacional de Ciberseguridad (ANCI) suma, bajo la Ley 21.663, un régimen transversal de deberes y notificación de incidentes. Los bancos que califiquen como Operadores de Importancia Vital (OIV) deben conciliar sus programas de ciberseguridad CMF con las obligaciones adicionales del Artículo 8° de la Ley 21.663. Estas incluyen un Sistema de Gestión de Seguridad de la Información (SGSI) formal, planes certificados de continuidad y ciberseguridad, y un delegado de ciberseguridad para la coordinación con la ANCI.

Recursos adicionales

Preguntas frecuentes

¿Qué regula el Capítulo 20-10 de la RAN?

El Capítulo 20-10 de la Recopilación Actualizada de Normas (RAN) de la CMF fija el marco de gestión de seguridad de la información y ciberseguridad que rige a los bancos en Chile. Define exigencias de gobierno, gestión de riesgos, controles técnicos, gestión de proveedores, continuidad operacional, gestión de incidentes y reporte al supervisor. Rige desde el 1 de diciembre de 2020.

¿A qué entidades aplica el RAN 20-10?

Aplica a todos los bancos que la CMF fiscaliza, sin distinción de tamaño. Los bancos sistémicamente importantes y los que tienen mayor exposición a canales digitales enfrentan expectativas más estrictas, acordes con su perfil de riesgo, pero todos cumplen los deberes esenciales del capítulo.

¿Cuáles son las obligaciones principales del RAN 20-10?

Las principales obligaciones son las siguientes: política y marco de gestión de seguridad de la información y ciberseguridad que apruebe el directorio; designación de un responsable de seguridad con autonomía e independencia; programa de gestión de riesgos tecnológicos y ciber que identifique los activos críticos y las amenazas relevantes; controles preventivos, detectivos y de respuesta; gestión de proveedores y externalizaciones críticas; planes de continuidad operacional y de recuperación ante desastres; gestión de incidentes con plazos de respuesta y reporte a la CMF; capacitación periódica; y auditoría independiente.

¿Cómo se relaciona el RAN 20-10 con la NCG 454?

El RAN 20-10 es la capa sectorial bancaria que se monta sobre el marco general de la NCG 454. La NCG 454 entrega los principios transversales que aplican a todas las entidades CMF, y el RAN 20-10 los aterriza con exigencias más detalladas del negocio bancario (canales digitales, redes de cajeros, sistemas core, pagos electrónicos). Los bancos cumplen ambos en conjunto.

¿Cómo se relaciona con la Ley 21.663 de Ciberseguridad?

El RAN 20-10 y la Ley 21.663 operan en paralelo. La CMF mantiene su supervisión sobre los bancos, y la ANCI suma el régimen transversal de OIV/OSE con su propia notificación de incidentes (plazos breves) y exigencias de seguridad de la información. Los bancos calificados como OIV deben coordinar reportes ante ambos reguladores y consolidar las exigencias en un único programa integrado.

Conversemos sobre los desafíos legales de su empresa

Agende una conversación inicial con nuestro equipo.

Agendar ConsultaConocer al Equipo
© 2025 AnguitaOsorio, todos los derechos reservados.
Chile

Nuestra Empresa

Suscribirse al Newsletter

Contacto

Contáctanos

Teléfono:

+56 2 2760 4512

Ubicación:

Cerro el Plomo 5420, oficina 1306, Las Condes, Región Metropolitana.