Y su sospechoso parentesco con la ISO 27001
Comencemos por entender a qué rayos se refiere el nombre “Ran 20-10”. Bueno, pues esto es una abreviatura para la Recopilación Actualizada de Normas (Ran) de bancos en Chile, que corresponde al capítulo 20-10. Estas dichosas normas tomaron vigencia el 1 de diciembre del año pasado. O sea que, es algo relativamente nuevo.
La RAN 20-10 fue creada por la Comisión para el Mercado Financiero del país. Lo que busca principalmente es proporcionar un estándar de buenas prácticas y lineamientos que una empresa debe cumplir para poder operar. Esto específicamente, en materia de seguridad de la información y ciberseguridad. Más que nada lo que está ley te pide es que tus plataformas tecnológicas sean seguras para tus clientes.
Si quieres cumplir con este objetivo, todos tus activos de información tienen que estar protegidos. El primer paso es identificarlos pero, ¿qué son los activos de información?
Un activo es cualquier cosa que le agrega valor a tu organización. Cuando hablamos de activos de información, nos referimos a que ese activo almacena y gestiona información. Estos pueden ser desde un servidor y una computadora hasta los mismos empleados.
Ya que identificaste todos esos activos, tienes que definir cuáles son críticos para tu empresa. Podrían ser, por ejemplo, los servidores que almacenan toda la información financiera de tus clientes.
Una buena gestión lo es todo
De acuerdo a los requisitos de la Ran 20-10 debes cumplir con un Sistema de Gestión de la Seguridad de la Información (SGSI) y de ciberseguridad. El punto es que tengas bien claro cómo vas a manejar los riesgos a los que está expuesta tu infraestructura.
Esto incluye definir bien la estructura organizacional del departamento de ciberseguridad y seguridad de la información dentro de la empresa. Aquí la tarea consiste en determinar quiénes son las personas encargadas de diseñar y mantener un sistema de seguridad adecuado. Además, hay que definir las políticas que tanto tus empleados, como proveedores, tienen que seguir para mantener todos tus activos seguros.
Gestión de riesgos en la RAN 20-10
Otro aspecto importante de la ley Chilena es la documentación de procesos para la gestión de riesgo. Tal vez, suena algo complicado pero la verdad es que no tienes de qué preocuparte. Nosotros te lo explicamos.
Como mencionamos anteriormente, debes contar con un SGSI. Lo bueno es que los SGSIs por default ya tienen un sistema de gestión de riesgos. Digamos que la gestión de riesgos es el diagnóstico de la enfermedad, el riesgo como tal la enfermedad y los controles de seguridad, el medicamento.
Dentro del proceso tienes que definir cómo identificas amenazas y vulnerabilidades. Además de cuál es la tolerancia al riesgo que tiene tu organización. También hay que tener en cuenta, como analizas, procesas y aceptas la información.
Ciberseguridad según la RAN 20-10
Al hablar de ciberseguridad la RAN 20-10 quiere asegurarse de que todos tus activos críticos estén protegidos. Esto incluye dos cosas:
- Documentar cómo los vas a proteger
- En caso de ser vulnerado cómo vas a responder
Dicho esto, hagamos un pequeño paréntesis para entender qué es una amenaza y qué es una vulnerabilidad.
Comencemos por las amenazas. Una amenaza siempre responde a la pregunta ¿qué puede pasar? Es esa posibilidad de que algo que no quieras que pase, pase. Piensa en tus actividades del día a día. Sin necesidad de ponernos paranoicos, realmente vivimos rodeados de amenazas. Al subirte a un elevador podrías quedarte atorado un par de horas. En pocas palabras, son situaciones que podrían suceder y afectarte negativamente.
Por otra parte, para identificar una vulnerabilidad tienes que preguntarte ¿por qué puede pasar? Dicho de otra manera, está sería la razón por la cual se atoró el elevador (falta de mantenimiento, fallo de electricidad, etc.).
Aquí nos referimos a la causa de la amenaza. Las vulnerabilidades pueden ser activos o controles que pudieran ser explotados por una o más amenazas. Sencillamente, es la debilidad en tu activo.
Su relación con ISO 27002
Tenemos buenas noticias para ti. Si ya cumples con ISO 27001 y su anexo ISO 27002, estás cumpliendo también con la RAN 20-10. Ya que, prácticamente la RAN 20-10 está basada un 90% en ISO.
Hackmetrix Insight: La ISO 27001 se especializa en seguridad organizacional (SGSI) y, la ISO 27002 se enfoca en controles técnicos y operativos. ¿Cuál es la relevancia de esto? Simplemente que la RAN 20-10 se enfoca en lo organizativo (SGSI) y en lo operacional (ISO 27002), ¿coincidencia?
Conclusión
La RAN 20-10 es una normativa Chilena basada en algunos sectores de ISO. Su foco u objetivo principal es que las empresas de tecnología que operan en el país no pongan en riesgo la información de tus clientes.
Para lograrlo tienes que documentar y definir tu SGSI y la estructura organizacional del departamento encargado de seguridad de la información y ciberseguridad. Por otra parte, hay que implementar procesos de gestión de riesgo. Recuerda que para poder cumplir con todo esto, identificar de manera correcta tus activos críticos, amenazas y vulnerabilidades es muy importante.
Si después de leer esto, estás pensando en cumplir con ISO27001 y al mismo tiempo con la RAN 20-10, te invitamos a descubrir nuestra plataforma de cumplimiento. Ponte en contacto con nosotros y cuéntanos más sobre tu caso.
