Así como México tiene su Ley Fintech, Chile (o más bien la CMF), tiene su Capítulo 20-10: una regulación que deben cumplir las empresas financieras para proteger su información.
Y quizás alguna vez le echaste un vistazo, pero te quedaron más dudas que certezas. No te preocupes, no estás solo. Ajustarse a una norma o ley puede ser una experiencia temida ya que se trata de un proceso extenso, obligatorio y del que hay poca información.
De hecho, esa es la cuestión: existe mucho material sobre qué es esta regulación o su contexto pero no hay puntualidades de cómo abordarla para comenzar a cumplir.
La solución es tener una estrategia de seguridad a nivel procesos. Así que veamos de qué se trata esta estrategia y cuál es el proceso para crearla.
¿Qué es el Capítulo 20-10 de la CMF?
Formalmente, el Capítulo 20-10 es una disposición legal que te exige cumplir una serie de lineamientos de seguridad para proteger tu información física y digital.
Fue publicado por la CMF (Comisión para el Mercado Financiero) en diciembre de 2020 y viene a complementar a otros ya publicados en su compendio de normas (la Recopilación Actualizada de Normas o RAN para los amigos).
Concretamente, quienes deben cumplirla son:
- Bancos
- Filiales de bancos
- Sociedades de apoyo al giro bancario
- Emisores y operadores de tarjetas de pago bancarios.
Aunque algunos dicen que surgió a causa de los millonarios hackeos al Banco de Chile y al Banco Consorcio en 2018, lo cierto es que en un mundo tan hiperconectado y dependiente de la tecnología su aparición no fue una sorpresa.
La intención de este capítulo es básicamente poner un piso mínimo y común para la industria y guiarla por un camino libre de los riesgos.
¿Qué hay que hacer para cumplir con el Capítulo 20-10?
Antes de adentrarnos en lo específico, debes saber que el requisito principal para cumplir esta regulación es enmarcar las prácticas de seguridad en un sistema de gestión.
O, en otras palabras, agruparlas en un plan, programa o estrategia que les dé coherencia y un objetivo común: preservar la seguridad de la información de tus clientes y de tu empresa.
De esta forma podrás administrarla y comunicarla en todas las áreas.
Ahora, este sistema de gestión implica poner en marcha una serie de políticas, procedimientos y controles de seguridad.
Al principio puede ser abrumador y tedioso, pero una vez que tengas alineados los procesos y los documentos de respaldo, podrás reutilizar todo este trabajo para cumplir con otras regulaciones o responder los cuestionarios de seguridad de tus clientes (después de todo, la mayoría de las organizaciones se basan en el estándar ISO 27001 para diseñar sus requisitos y auditorías).
¿Cómo abordar el sistema de gestión?
Un sistema de gestión implica crear procesos. Y estos, a su vez, implican crear controles de seguridad y documentación (que pueden ser políticas, planes estratégicos, etc).
Pero que el árbol nos tape el bosque: aquí puedes ver un esquema general de los procesos que abarca esta regulación:
Si bien todo lo que solicita la regulación es obligatorio, aquí te explicaremos sobre las principales implementaciones que formarán parte de tu sistema de gestión. Estos son:
1. Creación del directorio
La primera novedad es que debes crear un directorio que integre al menos un oficial de seguridad de la información.
Este oficial necesariamente debe estar capacitado en esa especialidad. Por ejemplo, en el caso de una startup, el directorio podría conformarse de un CEO, un CTO y el oficial de seguridad, entre otros.
Sus principales responsabilidades serán: aprobar las políticas y recibir los informes que se desprendan de ellas, garantizar los recursos para crear el sistema de gestión, designar roles con sus responsabilidades y comunicar el objetivo del sistema de gestión a todas las áreas.
Tal como muestra el esquema, deben impartir las principales políticas que dan sustento a toda la regulación. Estas son:
- Política de seguridad de la información
- Política de gestión de riesgos
- Política de gestión de incidentes
2. Gestionar los riesgos
Debes crear un proceso para la gestión de riesgos. Esto significa que debes poner en marcha una serie de procedimientos para identificar, tratar y monitorear los riesgos a los que se expone toda la información crítica de tu empresa.
La gestión de riesgos es prácticamente el corazón de un sistema de gestión porque conforma su base o estructura. Por ello, el Capítulo 20-10 ordena revisarlo anualmente con el directorio o comité y definir los ajustes pertinentes para mejorar el desempeño de los procedimientos o métodos utilizados.
3. Conocer tus activos críticos
Un activo es cualquier recurso que contenga información valiosa para tu startup (llámese un contrato, un CRM, un dispositivo o una persona.).
Tener un registro de activos es crucial para saber cuáles son críticos y, en base a ello, determinar medidas de seguridad que minimicen los riesgos. Por esta razón, la regulación pide que cuentes con un inventario de activos que sea aprobado y revisado al menos una vez al año.
Hackmetrix Insight: ¿Abrumador, verdad? Para tu suerte, ya te adelantamos una guía ejemplificada para que hagas el tuyo en 4 sencillos pasos.
4. Detectar vulnerabilidades y amenazas cibernéticas
Como era de esperarse, también hay mucho foco en proteger la información digital del cibercrimen.
En este caso, la regulación obliga a las empresas a: segmentar las redes y los entornos (Development, Staging, Production), contar con un Web Application Firewall (WAF), un antivirus, un antimalware, un IDS e IPS (para alertar, prevenir y responder ante tráfico malicioso), una herramientas de monitoreo de logs, un programa de gestión de actualizaciones y parches, entre otros requisitos.
Si no sabes como empezar, hemos creado esta breve guía de 3 pasos para proteger tus entornos tecnológicos.
5. Implementar un SOC
Un SOC o centro de operaciones de seguridad es básicamente un conjunto de herramientas, procesos y personas que monitorean la actividad de la empresa 24/7 para prevenir y atender incidentes.
Su misión es generar la capacidad de respuesta a un incidente originado desde o a través de las aplicaciones, sistemas operativos o infraestructura tecnológica.
Es importante saber que el SOC puede ser interno o tercerizado por la empresa.
6. Ethical Hacking
También llamadas pruebas de intrusión. Son simulaciones de ciberataques a las redes, sistemas y aplicaciones de una empresa con el fin de encontrar y explotar sus vulnerabilidades.
Una vez que se reportan, el objetivo es remediarlas para que la seguridad aumente.
En este caso, el Capítulo 20-10 solicita que las pruebas se hagan de forma regular, y aunque no menciona la frecuencia, lo recomendable para una startup fintech es hacerlo mínimamente de forma anual.
7. Plan de respuesta ante incidentes
Se trata de un documento con lineamientos para registrar, analizar y tratar los incidentes y vulnerabilidades detectadas. El requisito, además de crearlo, es que el comité lo apruebe y actualice mínimamente (también) cada año.
Entre otras cosas, este plan te facilitará:
- Información de los impactos ocasionados por un incidente y su frecuencia
- Estadísticas de comportamiento de respuesta ante incidentes
- Establecer mejoras en los controles y las políticas cuando sea necesario
Hasta aquí, hemos resaltado los principales procesos que pide la disposición de la CMF. Por otro lado, también requerirá de crear procesos específicos como pueden ser:
- Gestión del desarrollo seguro
- Programas de backup
- Plan de recuperación ante desastres
- Plan de continuidad del negocio
- Capacitaciones de concientización
- Procesos que competen al área de operaciones de TI
Si quisieras revisar cada uno de los lineamientos, puedes encontrarlos en las secciones 2, 3 y 4 del Capítulo. De todas formas, sus nombres pueden ser muy técnicos y confundir un poco. Por eso te lo tradujimos para que comprendas cada una:
Título de la sección | Lo que realmente quiere decir |
2. Elementos generales de gestión | Cómo armar tu sistema de gestión |
3. Proceso de gestión de riesgos de seguridad de la información y ciberseguridad | Cómo crear un proceso de gestión de riesgos |
4. Elementos particulares a considerar para la gestión de la ciberseguridad | Cómo proteger tu información digital |
5. Gestión de la infraestructura crítica de ciberseguridad del país | Consideraciones que debes tener en cuenta por formar parte de la infraestructura crítica del país (conocer exigencias legales, cuidar la confidencialidad, etc.) |
Conclusión
En un escenario tecnológico colmado de riesgos y vulnerabilidades, la CMF vio la necesidad de reglamentar una serie de lineamientos de seguridad para resguardar la información de las empresas financieras.
Entre esos lineamientos, destacan la necesidad de crear un sistema de gestión o programa de seguridad. Lo que debes saber es que esto implica poner en marcha varias políticas, procedimientos y controles de seguridad, y que a primera vista puede ser tedioso, pero una vez que tengas todo alineado podrás reutilizar este trabajo para superar otras auditorías y/o regulaciones.
Ahora ya sabes cuáles son los procesos que abarca la RAN 20-10 y cuáles son políticas y procedimientos principales necesarios para armar tu sistema de gestión.
En Hackmetrix te ofrecemos la ayuda necesaria para adecuarte a esta regulación y cumplir con todos sus requisitos de forma ágil.
Si quieres consultarnos tu caso o comenzar el viaje de seguridad, estamos aquí para asesorarte. No es tan complicado con el guía adecuado.