SBIF dicta cambios para mejorar normativas de ciberseguridad

En meses marcados por varios ciberataques a entidades financieras del país, la Superintendencia de Bancos (SBIF) emitió anoche un conjunto de cambios para mejorar la seguridad en la gestión de este sector.

Las modificaciones apuntan a mejorar la información sobre incidentes en riesgo cibernético y elevar los estándares de gestión de la banca.

La SBIF precisó que los cambios fueron en los Capítulos 20-8 y 1-13 de la Recopilación Actualizada de Normas y se actualizan las normas sobre comunicación de incidentes operacionales.

Los cambios "materializan parte de las iniciativas en ciberseguridad que apuntan a contar con más y mejor información sobre incidentes en riesgo cibernético, así como elevar los estándares de gestión de las instituciones en estas materias".

Con ello, "se ponen en práctica las medidas adoptadas por la SBIF para fortalecer a la industria financiera, elevando los estándares de seguridad para transitar a un sistema financiero en que los clientes puedan contar con un acceso seguro, confiable y continuo a su dinero y productos financieros en todo momento".

Agrega que se perfecciona el sistema de reporte de incidentes, creando una plataforma digital especialmente establecida para ello por la Superintendencia, en un plazo máximo de 30 minutos, esto a partir del 1 de octubre próximo. Además, se establece la obligación de designar un encargado de nivel ejecutivo para comunicarse con la Superintendencia en todo momento.

"Desde ahora será obligación informar oportunamente a los usuarios y clientes sobre los incidentes que afecten la calidad o continuidad de los servicios, la seguridad de sus datos personales o se trate de un hecho de público conocimiento", agrega la entidad.

Asimismo, "se establece la obligación de mantener un sistema de alerta de incidentes de ciberseguridad entre los miembros de la industria, para que compartan parte de la información (...) y así las demás entidades puedan adoptar las medidas necesarias".

También se introducen modificaciones que hacen de la ciberseguridad un criterio especial de evaluación de la gestión de un banco. Se agregan robustas modificaciones tendientes a que los Directorios se involucren directamente estas medidas, incluida la obligación de pronunciarse sobre la gestión de la ciberseguridad al menos una vez al año. Se evaluará también el que la entidad cuente con una base de incidentes de Ciberseguridad.

La SBIF aclara que las sociedades de apoyo al giro, filiales bancarias, cooperativas de ahorro y crédito fiscalizadas por la Superintendencia y las empresas emisoras y operadores de tarjetas de pago, están obligadas a reportar a la SBIF incidentes operacionales que las afecten.