En mayo la Comisión para el Mercado Financiero (CMF) publicó una norma que establece la evaluación de las aseguradoras en materia de seguridad cibernética: las compañías del sector deberán reportar los incidentes de ciberseguridad a la CMF y compartir la información con la industria para proteger a los usuarios y al sistema.
Esta nueva normativa busca fortalecer la supervisión que realiza la CMF, estableciendo un marco para la evaluación de gestión de riesgos asociada al riesgo operacional y seguridad cibernética. Ricardo Seguel, profesor de la Facultad de Ingeniería y Ciencias UAI y Director del Magíster en Ciberseguridad UAI, aborda cuáles las principales exigencias de esta nueva regla, prácticas internacionales y cómo se encuentra la industria de seguros en materia de ciberseguridad.
¿Cuáles son los cambios principales en las nuevas exigencias que traen las nuevas reglas?
“Esta Normativa de Carácter General (NCG) 454 exigirá a las compañías la responsabilidad de realizar una autoevaluación de más de 100 elementos de la gestión del riesgo operacional y de ciberseguridad, de forma bianual y anual. La nueva regla entrará en vigencia el 30 de septiembre de este año y se enmarca en el cumplimiento de la NCG 325 de solvencia y la NCG 309 de gobiernos corporativos para las compañías aseguradoras y reaseguradoras.
La reciente publicación de esta normativa para las aseguradoras y reaseguradoras viene a complementar los esfuerzos de la CMF por fortalecer los controles y mitigación de riesgos de exposición de las instituciones supervisadas, debido al aumento del intercambio de información y uso de medios digitales.
Durante los dos últimos años, la CMF ha trabajado en la actualización de las normas para la modernización de la industria financiera, por medio de la Recopilación Actualizada de Normas (RAN) capítulos 1-13, para preparar a las instituciones bancarias al cumplimiento de Basilea III y la Ley 21130 sobre solvencia. En particular, la RAN 20-10 se enfoca en la apropiada gestión del riesgo operacional, seguridad de la información y ciberseguridad para los bancos y emisores de tarjetas, la cual entró en vigencia el 1 de diciembre de 2020”.
¿Cómo se encuentra el sector de seguros chileno respecto de ideales prácticas internacionales?
“La NCG 454 es un enorme avance para reforzar la gestión del riesgo operacional, el riesgo de las Tecnologías de Información y la ciberseguridad, uniendo dos mundos que erróneamente existen de forma independiente en las compañías y sin una gestión integral que les permita a los directorios una clara comprensión de la exposición de los riesgos y continuidad del negocio.
Además, esta norma hace responsables últimos a los directorios en la definición y establecimiento de la estrategia para la administración del modelo integral de gestión de riesgo operacional en las compañías aseguradoras y reaseguradoras. Esto eleva el nivel de exigencias a las compañías, adhiriéndose a las mejores prácticas internacionales definidas por el International Association of Insurance Supervisors (IAIS) y tomando como referencia los también marcos internacionales NIST CSF, G7FE, G7FEA y CPMI-IOSCO”.
¿Cómo compara la industria de seguros en temas de ciberseguridad con otros sectores de la economía?
“Las compañías de seguros, siendo una industria regulada por la CMF y antes por la Superintendencia de Valores y Seguros (SVS), han trabajado fuertemente en los últimos 20 años en aumentar sus niveles de defensa, detección y recuperación ante incidentes operacionales y de seguridad de la información.
Comparativamente con otras industrias reguladas, la industria financiera y de seguros en Chile ha estado en la delantera, pero lejos aún de las buenas prácticas internacionales. La normativa NCG 454 permitirá elevar la madurez en la gestión integral de riesgos, tecnología y ciberseguridad a niveles comparables con las prácticas internacionales. Lo mismo ha sucedido con las recomendaciones en gestión y prácticas de ciberseguridad publicadas el año pasado por el coordinador eléctrico para la industria de la energía. Esperamos que más entes reguladores sigan estos ejemplos para reforzar los controles cibernéticos para proteger sobretodo la infraestructura crítica del país”.