Blog
dark mode light mode Search Archivos descargables
Search

Cómo la ISO 27001 complementa a la norma 454 de Chile

Si tu insurtech opera en Chile, esto te interesa. 

Así como existe la Ley Fintech en México, Chile tiene la norma 454 para empresas aseguradoras. No importa si tu empresa es tecnológica o no, si te dedicas a los seguros tendrás que cumplir con ella.  

Sí aún no conoces muy bien de qué trata esta norma, no te preocupes, aquí te platicamos en qué consiste. 

¿Qué es la norma 454?

Con la norma 454 se busca que las aseguradoras evalúen riesgos operacionales y de ciberseguridad. Algo que actualmente hace la Comisión para el Mercado Financiero (CMF). 

Dentro de la normativa podemos encontrar requisitos relacionados con:

  • Establecer requisitos de gestión de riesgo operacional y ciberseguridad.
  • Realizar autoevaluaciones periódicas como diagnóstico para determinar el grado de cumplimiento.
  • Reportar los incidentes operacionales oportunamente a la CMF.
  • Compartir con la industria los incidentes de ciberseguridad.

Veamos ahora, un poco más a fondo, en qué consisten estos riesgos de acuerdo con la CMF. 

Riesgos operacionales

La norma define el riesgo operacional como cualquier riesgo de pérdidas financieras que pueda causar fallas en los procesos, personas o sistemas

Con riesgos operacionales nos referimos a posibles pérdidas financieras relacionadas con procesos que no estén diseñados correctamente. Por otro lado, también se refiere a la falta de procesos que pudiera causar una operación deficiente y hasta la suspensión de los servicios.

La evaluación inadecuada de contratos y operaciones, el incumplimiento de plazos y presupuestos planificados, los errores en las transacciones o en la información contable, son otros ejemplos de riesgos operacionales.

Riesgos de ciberseguridad

Aunque la norma no ofrece una definición como tal, menciona la relación que tiene el riesgo operacional con el riesgo de ciberseguridad. El riesgo de ciberseguridad está relacionado con el uso de la tecnología en las operaciones de las compañías de seguros. 

Es muy importante que estés protegido ya que un incidente de ciberseguridad puede dañar tu capacidad para hacer negocios. Tal vez te estés preguntado, ¿cómo eso puede afectar a mi insurtech? 

Cuando existe una brecha de seguridad, se puede comprometer la protección de datos comerciales, personales o datos confidenciales de la compañía, lo que puede minimizar la confianza en el sector.

Algunos escenarios de riesgo pueden ser los siguientes:

  • Subir archivos a servicios o repositorios  de la nube sin cifrar
  • No hacer copias de seguridad
  • Tener una mala gestión de contraseñas y permisos de usuarios
  • No contar con un control de cambios que contemple pruebas y aprobación para la actualización de sistemas

Ya que sabemos a que se refiere la norma con riesgos operacionales y de ciberseguridad, entendamos cuál es su relación con la ISO 27001.

Cómo se relaciona con ISO 27001

¿Sabías que si cumples con ISO 27001, cumples con una parte de la norma 454?

Aunque aún te queda una brecha grande para cumplir, tener la certificación de ISO 27001 te ayuda con algunos requisitos de esta norma. Esto se debe a que la seguridad de la información contempla parte de los riesgos de ciberseguridad.

Hackmetrix insight: Mientras que ISO 27001 se enfoca en seguridad de la información, al igual que la RAN 20-10, la 454 se enfoca específicamente en los riesgos operacionales y de ciberseguridad. 

En pocas palabras, si cuentas con ISO 27001, tienes una gestión de riesgos básica que toma en cuenta partes importantes de la ciberseguridad,  justo lo que busca la norma 454.

Para llevar a cabo mejores prácticas de gestión de riesgos te sugerimos echarle un vistazo a la ISO 31000 e ISO 27005. 

Compleméntalo con ISO 27005 e ISO 31000

Cuando hablamos de gestión de riesgos, nuestra metodología Hackmetrix se basa en la ISO 31000 y en la ISO 27005 pero, ¿qué significa esto? 

Para que tengas una gestión de riesgos más global, puedes apoyarte en la ISO 31000.  Ya que este estándar ayuda a gestionar el riesgo en las organizaciones.

Por otro lado, la ISO 27005,  se ocupa de la gestión de riesgos para la seguridad de la información. Aunque no es certificable es una guía de mejores prácticas que puedes seguir. 

Conclusión

Para resumir lo que acabamos de ver. Si cuentas con la certificación de ISO 27001 ya cumples con una pequeña parte de la Norma 454 de Chile. 

Con esta normativa, Chile busca que las empresas aseguradoras tengan una buena gestión de riesgos y sigan las mejores prácticas de seguridad. Tomando en cuenta específicamente, los riesgos operacionales y de ciberseguridad. 

Para esto, echarle un vistazo a lo que piden la ISO 31000 y la ISO 27005 es una buena idea. Ya que estos dos estándares internacionales se enfocan meramente en la gestión de riesgos. 

Si tienes alguna duda sobre el tema, o si estás pensando en certificarte, contáctanos y con gusto te ayudaremos. 

Hackmetrix newsletter ciberseguridad