La RAN 20-7 o Recopilación Actualizada de Normas de los bancos chilenos capítulo 20-7, fue publicada en 23 diciembre 2019 y entrega ciertas exigencias para la externalización de servicios.

Regula toda contratación de proveedor que realice una actividad que el banco podría realizar internamente, pero decide subcontratar. No considera actividades que el banco no pudiera realizar, como son el abastecimiento de agua potable, servicios básicos generales o de giro exclusivo.

Es por esto por lo que esta norma es sumamente importante para cualquiera que desee ser proveedor de un banco, dado que esto se le exigirá para poder contratarlo. Desde un proveedor de inteligencia de negocio hasta transporte, el banco debiese exigir cumplir con esta normativa.

A continuación, y a modo de resumen, enumeramos estos requisitos, tomando los relacionados con la ciberseguridad, donde si lo necesitas, podemos ayudar:

1.- El Directorio deberá pronunciarse sobre la tolerancia al riesgo que está dispuesto a asumir en el caso de externalización de servicios.

2.- Verificar que el proveedor cuente con mecanismos que permitan prevenir que acciones realizadas por otros clientes afecten negativamente el servicio externalizado por la entidad. Sobre esto, es importante contar con continuidad operacional en caso de aumento abrupto de demanda (contar con un Web Application Firewall con distribución de contenido), seguridad en los sistemas, entre otros. De hecho, contar con un servicio que proteja de un ataque de denegación de servicio es mandatorio.

3.- Cumplimiento oportuno y cabal de los compromisos. Esto será monitoreado.

4.- El proveedor deberá realizar informes de auditorías o revisiones independientes de sus servicios (acá caben los Pentesting y Ethical Hacking).

5.- Procedimientos operacionales, administrativos y tecnológicos documentados, actualizado y permanentemente a disposición. Nosotros te podemos ayudar con la documentación de procedimientos de seguridad informática.

6.- Los informes de riesgo informados al directorio incluirán información de sus proveedores, como reportes de riesgo operacional. Por lo que agrega valor el mantener una política de seguridad actualizada y conforme a estándares internacionales como el que te podemos ayudar a conformar.

7.- Los datos, aplicaciones y plataformas tecnológicas de proveedores deben encontrarse en sitios de procesamiento específicos.

8.- Todo proveedor debe contar con un Programa de Gestión de Incidentes.

9.- Todo proveedor debe contar con un plan de continuidad de negocios (como un disaster recovery plan).

10.- Sobre todo, debes contar con un programa de seguridad de la información que permita asegurar confidencialidad, disponibilidad e integridad de la información. Si no lo tienes, podemos construirlo contigo.

Además se le exige establecer procedimientos formales para la selección, contratación y monitoreo de proveedores como también mantener un catastro actualizado, determinando cuales son estratégicos y/o de alto riesgo.

Existen exigencias especiales para cuando se procesen datos fuera del país, como solvencia financiera, certificaciones de calidad y apropiados sistemas de control.

Para servicios Cloud también necesitarás para calificar como proveedor:

1.- Prestigio y experiencia en el servicio.

2.- Certificaciones independientes internacionales, en términos de gestión de la seguridad de la información. Si necesitas ayuda con esto, puedes escribirnos a redteam@kepler.cl

Finalmente concluir en caso de necesitar cumplir con todos estos requisitos, nuestro servicio de consultoría en ciberseguridad puede construir para tu empresa una estrategia de ciberseguridad que no sólo te permitirá cumplir, sino que también, te dejará preparado para una certificación en caso de ser requerida.

Si te interesa además conocer la RAN 20-10, sobre la gestión de seguridad de la información y ciberseguridad, puedes leer acá.