Cómo la banca se está adaptando a la nueva regulación de ciberseguridad

En marzo de este año, el Gobierno promulgó la Ley Marco de Ciberseguridad e Infraestructura Crítica, una legislación que apunta a robustecer a Chile en materia de ciberseguridad con una institucionalidad, principios y normativa general para la estructuración, regulación y coordinación de las acciones de los organismos del Estado.

Esta ley regula y define los servicios esenciales (SE) y operadores de importancia vital, claves para el funcionamiento del país. Entre los primeros, se incluye a la banca, servicios financieros y medios de pago.

Las instituciones obligadas por la ley deberán aplicar de manera permanente las medidas para prevenir, reportar y resolver incidentes de ciberseguridad. Estas podrán ser de naturaleza tecnológica, organizacional, física o informativa.

DF consultó a tres actores relacionados con la ciberseguridad, quienes compartieron un diagnóstico similar: la banca es una de las industrias más maduras en este ámbito, debido a que están reguladas por la Comisión para el Mercado Financiero (CMF).

Desde la Asociación de Bancos e Instituciones Financieras de Chile (ABIF), señalaron que la industria se ha estado preparando para abordar estos desafíos, incluso antes de la discusión de la ley.

El gerente de operaciones y tecnología del gremio, Cristián Vega, dijo que parte de las medidas que el gremio ha tomado, se han enfocado en potenciar a su equipo de trabajo con expertos, por ejemplo, con el fichaje de un oficial de seguridad de la información (CISO, en inglés), Juan Downey.

También crearon una fuerza de tarea y un grupo de coordinación en que están los bancos y un total de 27 empresas de pago nacional en los que han implementado capacidades a través de cuatro ejercicios de simulación de ciberamenazas.

“También estamos desarrollando toda una industria colectiva para poder tener una conciencia situacional de lo que le está sucediendo a cada uno de nosotros”, afirmó Downey.

Pese a que para ambos ejecutivos la ley es tardía, representa un avance frente a la realidad nacional.

“Participamos y pudimos opinar en la discusión de esta ley. Sin duda es un avance porque no teníamos una legislación y estábamos muy rezagados. Nos restaba puntos internacionalmente en el nivel de madurez de ciberseguridad”, afirmó Vega.

Agregó que esta legislación permitirá “levantar el estándar nacional” en ciberseguridad, una materia que “depende no solo de lo que pueda hacer una empresa, sino que mucho de lo que hace el entorno, proveedores y clientes”.

Para el director de Bci y experto en transformación digital, Hernán Orellana, la regulación no significará un cambio de paradigma para la banca, pese a que algunos casos e incidentes de ciberseguridad que han afectado a esta industria hayan tenido un impacto en el quehacer nacional y que, dado a su importancia, son un “objetivo muy apetecido” por redes de hackers.

“La banca viene trabajando en regulaciones sectoriales desde hace un tiempo. Salvo el sector eléctrico, esta es la industria más regulada”, dijo.

Explicó que a través de la recopilación actualizada de normas (RAN 20-10), la CMF le asigna responsabilidades específicas al directorio de los bancos y eso les ha permitido “adelantarse” a la ley de ciberseguridad.

“El rol del directorio es esencial. La RAN le da la responsabilidad de definir la estructura, estrategia y hacer el análisis de riesgo”, dijo.

Dualidad de reguladores

La abogada y directora de Prieto Abogados, Romina Garrido, quien también ha asesorado a la banca en temas de ciberseguridad, comentó que el principal reto que trae la ley para la banca es la dualidad de reguladores a los que estará sometida.

“La CMF dicta la normativa y fiscaliza y ahora se suma un segundo regulador que es la Agencia Nacional de Ciberseguridad (ANCI). Todavía hay mucha incerteza de cómo va a operar en la práctica y cómo será la coordinación regulatoria entre ambas entidades”, dijo.

Para Vega de la ABIF, este punto es “complejo”, porque los bancos “quisiéramos seguir informando a nuestro regulador” y mantener una coordinación entre los distintos entes del Estado.

Para Downey esta dualidad de reguladores ha sido un tema de discusión en el grupo de coordinación de ciberseguridad con los máximos representantes de las instituciones.

Orellana, de Bci, también coincidió y agregó que otro desafío será fomentar la cultura en torno a la seguridad de la información y ciberseguridad de las personas.

“No ha habido una campaña comunicacional pese a existir una política nacional de ciberseguridad. Espero que en el corto plazo la ANCI pueda tomar medidas y ejecutarlas porque impacta mucho. El 80% de los ataques se producen por la participación de personas a través de la ingeniería social y el phishing”, dijo.