Luego de los incidentes de ciberseguridad que han afectado a la industria financiera en Chile, la Superintendencia de Bancos e Instituciones Financieras (SBIF) modificó los Capítulos 20-8 y 1-13 de la RAN el pasado 31 de agosto, con el objetivo de contar con más y mejor información sobre incidentes, y elevar los estándares de seguridad del sistema financiero.
Los Capítulos 20-8 y 1-13 ya contenían normas relativas a la gestión de la ciberseguridad por parte de las instituciones reguladas por la SBIF, las que fueron establecidas en enero de este año. En esa modificación se incluyeron ciertos lineamientos mínimos en ciberseguridad, como la exigencia de generar y mantener una base de incidentes a disposición de la Superintendencia.
1. Modificaciones al Capítulo 20-8 sobre Información de incidentes operacionales
La modificación al Capítulo 20-8 implica un robustecimiento de la actual obligación de comunicación de incidentes a la SBIF; el establecimiento de una nueva obligación de comunicación de incidentes a clientes y a la industria; y la eliminación de la actual sección N°2 que hasta ahora regulaba la base de incidentes de ciberseguridad.
A continuación, un breve análisis de estos nuevos elementos:
- Comunicación de incidentes operacionales a la SBIF
Se precisan los tipos de incidentes operacionales que deben ser comunicados; y se detalla su oportunidad, contenido y mecanismos de comunicación.
- Qué se debe reportar. Deberán reportarse a la SBIF los incidentes operacionales que afecten o pongan en riesgo la continuidad del negocio, los fondos o recursos de la entidad o de sus clientes, la calidad de los servicios o la imagen de la institución. También deberán informarse los incidentes que afecten a un grupo de clientes que puedan impactar la imagen y reputación de la entidad en forma inmediata, o con posterioridad a ocurrido un determinado evento(1).
- Cuándo se debe reportar. La primera comunicación a la SBIF, la ocurrencia de un incidente operacional, debe efectuarse en un plazo máximo de 30 minutos.
- Cómo se debe reportar. En relación al acto de comunicación del incidente, se reemplaza la actual comunicación única al correo electrónico de la SBIF por una obligación más detallada que considera dos comunicaciones a la casilla habilitada por la SBIF en su Extranet, una al inicio del incidente y otra al momento de su cierre.
- Qué debe incluir el reporte. La modificación detalla las materias que debe contener esta comunicación(2), requiriendo: (i) número único identificador del incidente (asignado por la SBIF); (ii) nombre de la entidad informante; (iii) descripción del incidente; (iv) fecha y hora de inicio del incidente; (v) causas posibles o identificadas; (vi) productos o servicios afectados; (vii) tipo y nombre de proveedor o tercero involucrado (si corresponde); (viii) tipo y número estimado de clientes afectados; (ix) dependencias y/o activos afectados (si corresponde); (x) medidas adoptadas y en curso; y (xi) otros antecedentes.
Si bien estos son los requisitos mínimos que han de incluirse en la comunicación del incidente, la misma norma señala que, para efectos de poder cumplir con el plazo, no contar con la información requerida “no debe ser impedimento para el envío de la comunicación dentro del plazo definido”.
La comunicación de cierre del incidente debe hacer referencia a los mismos aspectos requeridos para la comunicación de inicio, agregado solamente la “fecha de cierre del incidente”.
Vigencia. Por último, de acuerdo a las disposiciones transitorias establecidas en la Circular N° 3.640 de la SBIF del 31 de agosto de 2018 (la “Circular 3.640”), el envío de información sobre incidentes operacionales a través de la Extranet rige a partir del 16 de octubre de 2018. En el intertanto, deberán seguir utilizando el correo electrónico habilitado para ese fin.
- Comunicación de incidentes a los clientes o usuarios
Se establece una nueva obligación de reporte hacia los clientes de las instituciones afectadas, respecto de cierta clase de incidentes.
- Qué se debe reportar. El “tipo” de incidente que la gatilla la obligación de reporte a los clientes es distinta que el incidente que genera una obligación de reporte a la SBIF. Para que la institución esté obligada a notificar al usuario, el incidente debe necesariamente “afectar la calidad o continuidad de los servicios a los clientes o se trate de un hecho de público conocimiento”. Luego, ante incidentes que generen efectos de naturaleza diversa, la institución puede llegar a tener la obligación de comunicar tanto a la SBIF como a sus clientes.
En la Circular 3640 se establece que la notificación a los usuarios también deberá efectuarse cuando los incidentes afecten “la seguridad de los datos personales de los clientes”, circunstancia que finalmente no fue contemplada en el texto actualizado del capítulo 20-8.
Si bien el texto primitivo del capítulo 20-8 ya contemplaba como un tipo de incidente a reportar a SBIF las “fugas de información del banco o de clientes”, donde puede entenderse comprendida la frase en comento, la referencia expresa a la seguridad de los datos personales de los clientes nos parece más adecuada, y además obliga a los bancos a notificar a los clientes afectados por el incidente en cuestión. Para efectos de seguridad jurídica, puede ser adecuado que la SBIF aclare esta inconsistencia.
Cuándo se debe reportar. La norma establece que la institución será responsable de informar “oportunamente” a los usuarios. Por último, se establece una obligación adicional de ir actualizando la información disponible hasta el momento en que el incidente sea superado.
Cómo se debe reportar. En la práctica, será relevante entender si es suficiente para cumplir esta obligación realizar un aviso general al público, o se requerirá que cada usuario sea notificado individualmente; y si esta comunicación podrá ser efectuada a través de Internet o tendrá que efectuarse a través un medio físico, como una carta a un domicilio.
Qué debe incluir el reporte. Se debe informar a los usuarios sobre la ocurrencia del evento, actualizando la información disponible hasta el momento en que el incidente sea superado.
- Comunicación de incidentes a la industria bancaria. La modificación establece que los incidentes asociados a ciberseguridad han de ser compartidos por los bancos afectados con el resto de la industria; con el objetivo de prevenirlos de las amenazas en ciberseguridad y disminuir la probabilidad de que impactos negativos se propaguen en el sistema financiero nacional.
Para este fin, la norma indica que los bancos deben mantener un “sistema de alertas de incidentes” en el que se deberá reportar “en el más breve plazo posible”, como mínimo: (i) una descripción del tipo de amenazas; (ii) los canales o servicios afectados; y, cuando la información se encuentre disponible, (iii) la caracterización o identificación del software malicioso utilizado y de los mecanismos de protección que se hayan identificado. El sistema implementado debe considerar el acceso por parte de la SBIF a la información compartida.
De acuerdo a las disposiciones transitorias de la Circular N° 3.640, los bancos deberán tener habilitado su sistema de intercambio de información a más tardar el 5 de noviembre de 2018.
- Se elimina la sección N°2 sobre base de incidentes de ciberseguridad. Las modificaciones publicadas prescinden de la mantención de una base de incidentes como lo hacía la norma antes de estas modificaciones. A este respecto, la Circular N° 3.640 señala que los elementos que se evalúan en el ámbito de riesgo operacional se traspasan al Capítulo 1-13 de la RAN.
Por su parte, las variables mínimas a considerar en la elaboración de una base de incidentes ahora serán parte de un archivo del Manual de Sistema de Información, el que se encuentra en consulta pública en el sitio web de la SBIF hasta el 5 de octubre de 2018.
2. Modificaciones al Capítulo 1-13 sobre Clasificación de gestión y solvencia
Estas modificaciones se agregan a las ya establecidas en el Capítulo 1-13 de la RAN en su Letra C) del Numeral 3.2 del Título II Sobre Administración Del Riesgo Operacional. Sin embargo, de acuerdo a lo señalado anteriormente, estas agregaciones obedecen principalmente a elementos que ya estaban anteriormente considerados en el Capítulo 20-8 de la RAN y que fueron introducidos en enero del 2018.
La principal novedad corresponde a que ahora, un elemento que revela una buena gestión del riesgo, corresponde al hecho que la entidad cuenta con una base de incidentes de ciberseguridad que contempla los campos solicitados en el archivo del Manual de Sistema de Información de la SBIF. Este Manual es aquel al cual nos referimos anteriormente y que se encuentra en consulta pública hasta el 5 de octubre de 2018.
Citas
(1) Se agrega también una enumeración no taxativa de incidentes que entran en esta categoría, incluyendo, entre otros, fallas en el servicio de proveedores críticos o problemas tecnológicos que afecten la seguridad de la información.
(2) El Capítulo 20-8 de la RAN requería originalmente los siguientes datos: (i) nombre de la entidad informante; (ii) datos de persona encargada; (iii) fecha y hora de inicio del evento; (iv) explicación del incidente; (v) proveedores involucrados; y (vi) estimación de tipo y número de clientes afectados.
Opinión
CYT Abogados
opinión
ver todosBeccar Varela
Cevasco, Camerini, Barreira Delfino & Polak Abogados
Fernando Varela & Asociados
Kabas & Martorell