El reservado cuestionario que la CMF envió a AGF, corredoras y bolsas por ciberseguridad

El gran tema que se ha tomado la agenda del sistema financiero local en el año ha sido, sin duda alguna, la ciberseguridad. Lo anterior, principalmente por los ataques cibernéticos que sufrieron Banco de Chile y Banco Consorcio, además de la filtración de datos de tarjetas de créditos de clientes.

De este modo, la atención del tema ha recaído en la industria bancaria y en las medidas que ha tomado la Superintendencia de Bancos e Instituciones Financieras (SBIF), junto al proyecto de ley que el Ministerio de Hacienda prontamente enviará al Congreso.

Sin embargo, de forma más soterrada, la Comisión para el Mercado Financiero (CMF, ex SVS) también ha realizado acciones concretas para fortalecer la seguridad dentro de su perímetro regulatorio.

Así lo revela el "cuestionario sobre continuidad operacional, seguridad de la información y ciberseguridad" que comenzó a enviar desde agosto de forma reservada a sus regulados, entre ellos, las corredoras de bolsa, administradoras generales de fondos (AGF) y las bolsas.

El documento está compuesto de nueve páginas en las que la CMF formuló 31 preguntas relacionadas a la materia. Entre otras, consultó a cada entidad si es que consideran dentro de su presupuesto anual un ítem relacionado a los tres ejes que implicaba el cuestionario.

En ese sentido, les pidió indicar cuál era el presupuesto anual en unidades de fomento (UF) destinado a continuidad operacional, a seguridad de la información y a ciberseguridad, junto con precisar cuál es el porcentaje que implica cada uno respecto del presupuesto total.

Consultados si ya recibieron las respuestas y qué medidas han tomado en base a ellas, desde la CMF declinaron hablar.

Incidentes y políticas

Otra pregunta relevante que realizó el organismo encabezado por Joaquín Cortez a los regulados fue si cuentan con procedimientos para identificar y resolver incidentes asociados a los tres aspectos que guiaron el cuestionario, los que podrían afectar el normal funcionamiento de los procesos.

En esa línea, les pidió detallar si poseen un registro de incidentes y si cuentan con planes de gestión de crisis documentados para enfrentar eventos significativos. También les exigió informar el número y tipo de incidentes que han tenido desde 2016 hasta este año, junto con precisar el monto de pérdida anual para la entidad que implicaron dichos eventos.

A los regulados, además, se les solicitó que informaran si tienen políticas que aborden estos temas, si éstas son de carácter corporativo o rigen sólo para la entidad, la fecha de aprobación y última modificación y que indicaran si fueron aprobadas por el directorio, la alta administración u otra instancia.

En ese contexto, la CMF exigió que las entidades bajo su supervisión dijeran si el directorio o la alta administración reciben reportes referidos al cumplimiento de las políticas de riesgos, nuevas fuentes de riesgo e incidentes relacionados a la continuidad operacional, seguridad de la información y la ciberseguridad.

Para ello, les pidió que señalaran cuáles son esos reportes y la periodicidad con la que se envían, además de precisar si en las actas de directorio o alta administración se deja constancia sobre los informes y las temáticas que en ellos se abordan.

Cabe destacar que actualmente la SBIF está en proceso de integrarse a la CMF, donde están abordando cómo definirán la supervisión que se hará de esta materia una vez que se concrete la fusión.