1. Inicio
  2. Blog
  3. Nuevo Capítulo RAN 20-10: Gestión de Seguridad de la Información y Ciberseguridad
Nuevo Capítulo RAN 20-10: Gestión de Seguridad de la Información y Ciberseguridad

Seguridad de la información y Ciberseguridad

La Comisión para el Mercado Financiero Chileno (CMF) ha publicado un nuevo capítulo (RAN 20-10) referente a los lineamientos mínimos en materia de Seguridad de la Información y Ciberseguridad, que deben seguir las entidades sujetas a dicha normativa y que entrará en vigor el 1 de diciembre del presente año 2020.

El capítulo, viene a complementar a otros ya publicados por la CMF de temática relacionada y con el fin de proteger al máximo posible los intereses de los ciudadanos, ya sea a través de la minimización y recuperación de incidentes, protección de datos o disponibilidad de los servicios críticos. Para ello, la normativa entrega a las empresas bancarias, así como a sus filiales y a las sociedades de apoyo al giro bancarias, y a los emisores y operadores de tarjetas de pago no bancarios, una serie de lineamientos y de mejores prácticas en esta materia, que deben ser consideradas por las entidades en su proceso de la gestión de la seguridad de la información y ciberseguridad, dando con ello cumplimiento a una iniciativa estratégica de este Organismo.

Esta adecuación normativa, permitirá el avance del sistema bancario chileno y financiero, en lo aplicable, en la senda de adopción de las mejores prácticas internacionales.

Asimismo, se trata de un marco de referencia para los próximos desarrollos normativos que este Organismo está estudiando aplicar a otro tipo de entidades fiscalizadas, como es el caso de las cooperativas de ahorro y crédito, así como otras entidades de la industria de valores y seguros.

Debido a la dependencia actual de las Tecnologías de la Información, los riesgos TI a los que las organizaciones se enfrentan han cobrado una importancia notable a la hora de conseguir los objetivos de negocio propuestos. La transversalidad de estos riesgos, unido a la complejidad a la hora de gestionarlos hace que no sea tarea fácil. Es por este motivo que las organizaciones se plantean la implantación de marcos de trabajo que permitan evaluar los riesgos, procesarlos y obtener resultados.

Uno de los pasos cruciales a la hora de implantar un marco de gestión TI es cómo conjugar los procesos tecnológicos y de negocio, alineando nuestro entorno TI a las necesidades de negocio para crear valor.

¿Cómo se estructura la norma RAN 20-10?

La normativa cuenta con 4 secciones principales en la que se detallan:

  • Aspectos generales de gestión para las materias de seguridad de la información y ciberseguridad.
  • Lineamientos que deben considerar las instituciones en la implementación de un proceso de gestión de riesgos.
  • Especial relevancia de los riesgos cibernéticos, dado a su importante crecimiento.
  • Consideraciones que deben tener las instituciones al formar parte importante de la infraestructura crítica del país

Protección de infraestructuras críticas en Chile

Claves para la implantación en un sistema de gestión

Puntos Clave en un SGSI y SGCS

El capítulo nos detalla las diferentes fases y puntos por los que una organización debe pasar para la gestión efectiva de sus riesgos, entre todos ellos, en GlobalSUITE Solutions diferenciamos los siguientes puntos clave:

  • Incluir dentro de las Estrategias y Objetivos Corporativos toda la gestión de riesgo de la organización, presupuestos, capacidades.
  • Segregación de funciones y definición de Responsabilidades.
  • Detalle del Alcance, Política y Nivel de Riesgo Aceptable para la organización.
  • Formación, Capacitación y Concienciación Corporativa.
  • Captura de información sobre los Activos de la compañía y CMDB.
  • Análisis de Amenazas y Vulnerabilidades, Escenarios de Riesgo, Proveedores.
  • Evaluación de los Controles Implantados.
  • Evaluación de Riesgos, Toma de Decisiones y Mitigación.
  • Mejora continua, análisis de nuevos procesos y actividades en la organización.
  • Planes de Capacidad, Planes de Continuidad y Programa de Pruebas.
  • Alerta y Gestión de Crisis e Incidentes.

Garantías de su implementación

RAN 20-10 define las principales líneas a seguir basándose en estándares internacionales que llevan operando y garantizando el éxito en Seguridad de la Información durante muchos años, y para todo tipo de sectores.

Entre los lineamientos encontramos puntos de normativas de referencia como la ISO 27001, NIST, PCI-DSS, así como otras recomendaciones esta vez sobre Continuidad de Negocio como la ISO 22301, que garantizan un conjunto de buenas prácticas y procedimientos basados en estándares internacionales que nos permitirán, intensificar la concienciación dentro de las instituciones en materia de Riesgos de Seguridad y Ciberseguridad, analizar el estado de las mismas, definir una mejora continua con la implantación, mantenimiento y revisión de riesgos y controles orientados a la protección de la información y estar preparados ante posibles eventos o incidencias.

Desde GlobalSUITE Solutions le ofrecemos la ayuda necesaria para la adecuación al Capítulo RAN 20-10, pudiendo gestionar los requisitos a través de nuestro Software GlobalSUITE® de manera centralizada, eficiente y complementandolo con otros capítulos RAN como son el 1-13 Riesgo Operacional, 20-7 Externalización de Servicios, 20-8 Incidentes Operacionales, 20-9 Continuidad de Negocio, entre otros.

Webinars

Buscador

¿Necesita más información?

Póngase en contacto con nuestro equipo de expertos para solicitar más información sobre nuestras soluciones

Newsletter

Más artículos

Menú