RAN 20-10: Gestión de Seguridad de la Información y Ciberseguridad en Bancos

Ámbito de aplicación

El Capítulo 20-10 contiene disposiciones, basadas en buenas prácticas, que deben ser consideradas como lineamientos mínimos por las entidades fiscalizadas por la CMF para la gestión de la seguridad de la información y ciberseguridad. La norma define la seguridad de la información como el conjunto de acciones para la preservación de la confidencialidad, integridad y disponibilidad de la información de la entidad, y la ciberseguridad como la protección de la información presente en el ciberespacio y de la infraestructura que la soporta, con el objeto de evitar o mitigar los efectos adversos de los riesgos y amenazas inherentes.

La adhesión al RAN 20-10 es parte de la evaluación de gestión que la CMF realiza a los bancos en el ámbito de los riesgos operacionales, atendiendo al volumen y complejidad de sus operaciones. El capítulo complementa otras normas del organismo, entre ellas el Capítulo 1-13 sobre evaluación de gestión del riesgo operacional, el Capítulo 20-7 sobre externalización de servicios, el Capítulo 20-8 sobre información de incidentes operacionales y el Capítulo 20-9 sobre gestión de la continuidad del negocio.

Elementos generales de gestión

El Numeral 2 sitúa al Directorio en el centro del sistema de gestión de seguridad de la información y ciberseguridad. La CMF espera que el Directorio:

• Apruebe la estrategia institucional y autorice recursos presupuestarios suficientes para mitigar los riesgos asociados, en línea con el volumen y complejidad de la entidad.
• Defina una estructura organizacional con personal especializado y dedicado, instancias colegiadas de alto nivel y un oficial de seguridad de la información y ciberseguridad, con adecuada segregación funcional.
• Disponga una función de riesgo independiente de las áreas generadoras de riesgos, encargada del diseño y mantención del sistema de identificación, seguimiento, control y mitigación.
• Disponga una estructura de alto nivel para la administración de crisis, con atribuciones administrativas delegadas y canales de comunicación para informar oportunamente a autoridades y partes interesadas.
• Apruebe políticas de gestión de riesgos que definan alcance, tolerancia al riesgo, inventario de activos, criterios de clasificación y niveles mínimos de disponibilidad de servicios, revisadas al menos anualmente.
• Promueva una cultura de riesgos mediante planes formales de difusión, capacitación y concientización, incluyendo al personal externo que preste servicios a la entidad.
• Asegure auditorías periódicas al proceso de gestión de seguridad de la información y ciberseguridad, con el alcance necesario sobre el cumplimiento de políticas y la eficacia de procedimientos y controles.

Proceso de gestión de riesgos de seguridad de la información y ciberseguridad

El Numeral 3 exige un proceso formal de gestión de riesgos que cubra la identificación, análisis, valoración, tratamiento y aceptación o tolerancia de los riesgos a que están expuestos los activos de información, con monitoreo y revisión permanente. Como mínimo, el proceso debe considerar:

• Identificación de los activos de información, incluyendo ubicación física y función.
• Identificación de amenazas y vulnerabilidades, reforzada con información de fuentes internas y externas.
• Evaluación de los controles existentes, incluyendo su efectividad y suficiencia.
• Análisis de las consecuencias de las pérdidas de confidencialidad, integridad y disponibilidad.
• Valoración del riesgo frente a criterios y tolerancia previamente definidos.
• Un plan de tratamiento del riesgo que establezca controles para reducir, aceptar, evitar o transferir los riesgos priorizados.
• Comunicación formal de los riesgos a la organización.
• Revisión al menos anual del proceso de gestión de riesgos, para identificar ajustes en las metodologías o herramientas utilizadas.

Elementos específicos para la gestión de la ciberseguridad

El Numeral 4 exige a las entidades identificar sus activos críticos de ciberseguridad y cubrir el ciclo completo proteger → detectar → responder → recuperar. En particular, la CMF espera:

Protección y detección (4.1)

• Un inventario de activos de ciberseguridad críticos clasificados por confidencialidad, integridad y disponibilidad.
• Procesos de gestión del cambio, de capacidades, de configuraciones, de obsolescencia tecnológica y de parches sobre la infraestructura TI.
• Protección y segmentación de redes mediante herramientas complementarias: firewalls, WAF, sistemas de prevención de intrusos (IPS), DLP, anti-denegación de servicios, filtrado de correo y anti-malware.
• Controles para dispositivos móviles, trabajo a distancia e IoT; gestión de identidades y de acceso físico y lógico; monitoreo de la actividad sobre activos críticos y cuentas privilegiadas.
• Normas y procedimientos de cifrado que establezcan la información a proteger, los algoritmos autorizados y los controles para la transmisión y el almacenamiento.
• Un proceso de administración de respaldos con pruebas de restauración al menos anuales.
• Un Security Operation Center (SOC), propio o externo, que opere 24/7 para prevenir, detectar, evaluar y responder a amenazas e incidentes de ciberseguridad.
• Pruebas de seguridad regulares incluyendo pentesting y ethical hacking, cuyos resultados deben reportarse al Directorio al menos semestralmente.

Respuesta y recuperación (4.2)

• Planes de respuesta y de crisis probados al menos anualmente, con un esquema de escalamiento a la alta administración según la severidad.
• Un plan de comunicaciones para incidentes de alto impacto, liderado por la alta administración y que alcance a partes interesadas internas y externas.
• Un proceso independiente de análisis forense, con identificación, recopilación, adquisición, examen y análisis de evidencia digital, y una adecuada cadena de custodia.
• Una base de incidentes detallada y una base de lecciones aprendidas que permitan perfeccionar la respuesta y apoyar la toma de decisiones ante nuevos eventos.
• Autoevaluaciones al menos anuales del cumplimiento de políticas internas, normativa regulatoria y mejores prácticas de ciberseguridad.

Gestión de la infraestructura crítica de ciberseguridad del país

El Numeral 5 trata a las entidades fiscalizadas como actores relevantes de la infraestructura crítica del país. Siguiendo la definición de la Política Nacional de Ciberseguridad, los bancos deben identificar los activos que componen la infraestructura crítica de la industria financiera y del sistema de pagos, compartir información técnica de incidentes con otros integrantes del sistema \u2014 respetando el secreto y reserva legal y la confidencialidad de los datos personales de los clientes \u2014 y participar en pruebas conjuntas de escenarios de riesgo que pudieran afectar el funcionamiento del sistema financiero.

Relación con la Ley Marco de Ciberseguridad 21.663

El RAN 20-10 es anterior a la Ley 21.663, pero opera en paralelo con ella. La CMF mantiene su mandato de supervisión sobre los bancos, mientras que la Agencia Nacional de Ciberseguridad (ANCI) añade, bajo la Ley 21.663, un régimen transversal de deberes y notificación de incidentes. Los bancos que califiquen como Operadores de Importancia Vital (OIV) deberán conciliar sus programas de ciberseguridad CMF con las obligaciones adicionales del Artículo 8° de la Ley 21.663, incluyendo un Sistema de Gestión de Seguridad de la Información (SGSI) formal, planes certificados de continuidad y ciberseguridad, y un delegado de ciberseguridad para la coordinación con la ANCI.

Recursos adicionales

• NCG 454 CMF: Riesgo operacional y ciberseguridad
• Ciberseguridad en el sector financiero chileno
• Ley Marco de Ciberseguridad 21.663
• Operadores de Importancia Vital (OIV)
• Capítulo 20-10 RAN CMF (texto oficial, PDF)