Las RAN 20-10 o Recopilación Actualizada de Normas de los bancos chilenos capítulo 20-10, fue publicada en diciembre 2020 y entrega lineamientos sobre Gestión de la Seguridad de la Información y Ciberseguridad. Escrita por la CMF (Comisión para el Mercado Financiero), busca mantener la continuidad operativa del negocio (disponibilidad de la información), confidencialidad e integridad de los datos en todos sus sistemas y todas sus plataformas digitales, esto tomando en cuenta que, con la rapidez de la transformación digital vista en la banca, se encuentran enfrentando una progresiva exposición a los riesgos y ataques digitales.

Las principales normas aplicables que debemos conocer son:

1.- Responsabiliza al directorio de la toma de conocimiento, aprobación y aplicación, asignando un presupuesto adecuado, a la estrategia institucional de ciberseguridad.

2.- La institución debe mantener un adecuado «sistema de gestión de riesgo» con una estructura dedicada y especializada, independiente de las áreas generadoras de riesgos (este punto es muy relevante).

3.- Una estructura organizacional de alto nivel para la resolución de crisis.

4.- Definición del nivel de tolerancia al riesgo, aprobando además los niveles de disponibilidad mínimos a asegurar en sus servicios entregados a través de plataformas tecnológicas.

5.- Una clara definición de los activos de información a resguardar (muy en línea con el primer pilar del framework NIST).

6.- Existencia de un inventario de activos de información permanentemente actualizado (en línea con los controles de la CIS). Muy relevante para proteger, el conocer.

7.- El Directorio se asegura de informarse periódica y adecuadamente respecto de los riesgos a que está expuesta la entidad en términos de seguridad de la información y ciberseguridad, así como del cumplimiento de sus políticas e incidentes de seguridad de la información y ciberseguridad, con el fin de mejorar su gestión y prevención.

8.- El Directorio debe aprobar políticas de conducta interna de manera de asegurar que los trabajadores y proveedores las utilicen las tecnologías de la información de manera responsable.

9.- Mantener un programa de concientización en ciberseguridad interno.

10.- Monitorear y revisar periódicamente riesgos asociados a la ciberseguridad por parte de proveedores externos o nuevos productos o servicios.

11.- Asegurar que sus procesos y los de sus proveedores aseguran la protección de los datos de carácter personal y los derechos de propiedad intelectual según normativa vigente.

12.- Realizar auditorías al proceso de gestión de la seguridad de la información y ciberseguridad. Incluyendo pero no limitándose a realización de Pentesting o Ethical Hacking.

Finalmente, el proceso de gestión de riesgos debe ser revisado al menos una vez al año por la entidad.

Puedes descargar todas las normas directamente desde la CMF, la RAN 20-10 acá

Otros capítulos relevantes en materia de ciberseguridad son RAN 20-8, sobre información de incidentes operacionales, RAN 20-9, sobre la gestión de continuidad del negocio y RAN 20-7 sobre externalización de servicios, sobre el cual hablamos acá