CiberseguridadSeguridad

RAN 20-10: Gestión de Seguridad de la Información y Ciberseguridad

🕑 4 minutos de lectura

Seguridad de la información y Ciberseguridad

La Comisión para el Mercado Financiero Chileno (CMF) ha publicado un nuevo capítulo (RAN 20-10) referente a los lineamientos mínimos en materia de Seguridad de la Información y Ciberseguridad, que deben seguir las entidades sujetas a dicha normativa y que entrará en vigor el 1 de diciembre del presente año 2020.

El capítulo, viene a complementar a otros ya publicados por la CMF de temática relacionada y con el fin de proteger al máximo posible los intereses de los ciudadanos, ya sea a través de la minimización y recuperación de incidentes, protección de datos o disponibilidad de los servicios críticos. Para ello, la normativa entrega a las empresas bancarias, así como a sus filiales y a las sociedades de apoyo al giro bancarias, y a los emisores y operadores de tarjetas de pago no bancarios, una serie de lineamientos y de mejores prácticas en esta materia, que deben ser consideradas por las entidades en su proceso de la gestión de la seguridad de la información y ciberseguridad, dando con ello cumplimiento a una iniciativa estratégica de este Organismo.

Esta adecuación normativa, permitirá el avance del sistema bancario chileno y financiero, en lo aplicable, en la senda de adopción de las mejores prácticas internacionales.

Asimismo, se trata de un marco de referencia para los próximos desarrollos normativos que este Organismo está estudiando aplicar a otro tipo de entidades fiscalizadas, como es el caso de las cooperativas de ahorro y crédito, así como otras entidades de la industria de valores y seguros.

Debido a la dependencia actual de las Tecnologías de la Información, los riesgos TI a los que las organizaciones se enfrentan han cobrado una importancia notable a la hora de conseguir los objetivos de negocio propuestos. La transversalidad de estos riesgos, unido a la complejidad a la hora de gestionarlos hace que no sea tarea fácil. Es por este motivo que las organizaciones se plantean la implantación de marcos de trabajo que permitan evaluar los riesgos, procesarlos y obtener resultados.

Uno de los pasos cruciales a la hora de implantar un marco de gestión TI es cómo conjugar los procesos tecnológicos y de negocio, alineando nuestro entorno TI a las necesidades de negocio para crear valor.

¿Cómo se estructura la norma RAN 20-10?

La normativa cuenta con 4 secciones principales en la que se detallan:

  • Aspectos generales de gestión para las materias de seguridad de la información y ciberseguridad.
  • Lineamientos que deben considerar las instituciones en la implementación de un proceso de gestión de riesgos.
  • Especial relevancia de los riesgos cibernéticos, dado a su importante crecimiento.
  • Consideraciones que deben tener las instituciones al formar parte importante de la infraestructura crítica del país

Puntos Clave en un SGSI y SGCS

El capítulo nos detalla las diferentes fases y puntos por los que una organización debe pasar para la gestión efectiva de sus riesgos, entre todos ellos, en GlobalSUITE Solutions diferenciamos los siguientes puntos clave:

  • Incluir dentro de las Estrategias y Objetivos Corporativos toda la gestión de riesgo de la organización, presupuestos, capacidades.
  • Segregación de funciones y definición de Responsabilidades.
  • Detalle del Alcance, Política y Nivel de Riesgo Aceptable para la organización.
  • Formación, Capacitación y Concienciación Corporativa.
  • Captura de información sobre los Activos de la compañía y CMDB.
  • Análisis de Amenazas y Vulnerabilidades, Escenarios de Riesgo, Proveedores.
  • Evaluación de los Controles Implantados.
  • Evaluación de Riesgos, Toma de Decisiones y Mitigación.
  • Mejora continua, análisis de nuevos procesos y actividades en la organización.
  • Planes de Capacidad, Planes de Continuidad y Programa de Pruebas.
  • Alerta y Gestión de Crisis e Incidentes.

Garantías de su implementación

RAN 20-10 define las principales líneas a seguir basándose en estándares internacionales que llevan operando y garantizando el éxito en Seguridad de la Información durante muchos años, y para todo tipo de sectores.

Entre los lineamientos encontramos puntos de normativas de referencia como la ISO 27001, NIST, PCI-DSS, así como otras recomendaciones esta vez sobre Continuidad de Negocio como la ISO 22301, que garantizan un conjunto de buenas prácticas y procedimientos basados en estándares internacionales que nos permitirán, intensificar la concienciación dentro de las instituciones en materia de Riesgos de Seguridad y Ciberseguridad, analizar el estado de las mismas, definir una mejora continua con la implantación, mantenimiento y revisión de riesgos y controles orientados a la protección de la información y estar preparados ante posibles eventos o incidencias.

Desde GlobalSUITE Solutions le ofrecemos la ayuda necesaria para la adecuación al Capítulo RAN 20-10, pudiendo gestionar los requisitos a través de nuestro Software GlobalSUITE® de manera centralizada, eficiente y complementandolo con otros capítulos RAN como son el 1-13 Riesgo Operacional, 20-7 Externalización de Servicios, 20-8 Incidentes Operacionales, 20-9 Continuidad de Negocio, entre otros.