Ciberseguridad y nuevas exigencias del regulador a empresas de apoyo al giro de la banca

Ciberseguridad y nuevas exigencias del regulador a empresas de apoyo al giro de la banca

La Superintendencia de Bancos e Instituciones financieras ha señalado que “en un año se realizan más de 500 millones de operaciones vía tarjetas de crédito bancarias y del retail, y más de 2.000 millones de operaciones web, de las cuales 350 millones corresponden a transferencias y pagos anuales vía portales web. En 2015 se realizaron alrededor de 500 millones de transacciones en cajeros automáticos a lo largo de todo Chile, y un número similar de operaciones con tarjetas de débito”.^[1]

Hoy en Chile el 96% de las comunas posee algún punto de acceso a servicios de pago. En total, cerca de 4.000 millones de operaciones están sujetas a riesgos que podemos atribuir a temas tecnológicos, informáticos o electrónicos. El aumento en el grado de acceso a los distintos medios de pago en los últimos años hace que esta problemática sea transversal, alcanzando a la gran mayoría de las personas, de todos los estratos socioeconómicos.

Es en dicho contexto descrito por el Superintendente que se ha publicado el 8 de Junio de 2016 una Circular de la SBIF dirigida a sociedades de apoyo al giro de la banca en la cual se señala que en materia de seguridad de la información es relevante que el Directorio y la Alta Gerencia de las empresas relacionadas al giro de la banca se informen respecto de los riesgos asociados a la ciberseguridad y resuelvan respecto de las medidas de mitigación pertinentes.

Además, la Circular indica que las empresas “deben realizar una evaluación periódica de sus controles, considerando aspectos de identificación de los riesgos vinculados al uso de tecnologías de información, así como la suficiencia y efectividad de las medidas de protección y detección, y su capacidad de respuesta y recuperación ante la materialización de este tipo de amenazas”.

En relación a la gestión de la ciberseguridad, la SBIF ha instruido a las  instituciones fiscalizadas a realizar una evaluación permanente de su ambiente de control asociado con esta materia, como la identificación de los riesgos asociados al uso de tecnologías de la información, verificar la suficiencia y efectividad de las medidas de protección, la detección y su capacidad de respuesta ante este tipo de amenazas.

De este modo se espera que, lo mencionado anteriormente, sea parte de las evaluaciones habituales que realiza la Superintendencia en la gestión del riesgo operacional, esto llevará a que las actividades habituales de fiscalización incorporen mecanismos de control en materia de ciberseguiridad.

Por último, no se puede desconocer que los directores y la alta gerencia de las empresas vinculadas al sector deben asumir su responsabilidad de estar debidamente informados y capacitados para entender las vulnerabilidades que hoy están presentes en materia de tecnologías de la información, ello nos lleva a concluir que hoy no se puede concebir el compliance corporativo sin una debida estrategia de ciberseguridad que mitigue eventuales riesgos.

Compartir