La Norma de Carácter General N° 454, publicada el 18 de mayo de 2021, imparte instrucciones relacionadas con la gestión de Riesgo Operacional y Ciberseguridad, así como de la realización periódica de autoevaluaciones en ambas materias en entidades aseguradoras y reaseguradoras.
A continuación te contamos qué dice la norma sobre estos temas y cómo el uso de una herramienta tecnológica como Pirani Riskment Suite o Pirani ISMS Suite ayuda a las empresas obligadas a su cumplimiento.
Contacta a un asesor para más información
Esta norma de la Comisión para el Mercado Financiero (CMF) está basada en las mejores prácticas reconocidas internacionalmente sobre la prevención de los riesgos de ciberseguridad. En particular, se basa en los ocho elementos fundamentales de alto nivel de la ciberseguridad establecidos por el G7FE:
Entre las prácticas recomendadas se destaca que esta estrategia esté alineada con el marco de gestión del riesgo de ciberseguridad y de gestión de riesgo operacional, que respalde y promueva tanto la seguridad operativa como la protección de los datos y que defina claramente tanto los objetivos, los requerimientos necesarios así como las funciones y responsabilidades.
Algunas de las funciones que debe cumplir son evaluar regularmente el perfil de riesgo para garantizar que sea consistente con la tolerancia al riesgo y con los objetivos comerciales, igualmente, debe estar involucrado en la implementación del marco de ciberseguridad y en las políticas y procedimientos, y debe fomentar el conocimiento y el compromiso con este tema entre los empleados.
Norma N° 454 de la Comisión para el Mercado Financiero (CMF) |
Cumplimiento con Pirani ISMS Suite |
3. Evaluación de Riesgo y Control Algunas de las prácticas que deben implementar las aseguradoras son: a) Tener en cuenta de forma adecuada los riesgos cibernéticos en su sistema general de gestión de riesgos, identificando las funciones y procesos de soporte del negocio. b) Realizar una evaluación de riesgo de los recursos/activos y clasificarlos en términos de criticidad. c) Clasificar los activos críticos desde una perspectiva de confidencialidad, integridad y disponibilidad. d) El inventario debe abarcar hardware, plataformas de software y aplicaciones, dispositivos, sistemas, datos, personal, sistemas de información externos, procesos críticos y documentación sobre los flujos de datos esperados. e) Coordinar los esfuerzos de identificación con otros procesos relevantes, como la gestión de adquisiciones y cambios, a fin de facilitar una revisión periódica de su lista de procesos críticos del negocio. f) Incluir las amenazas externas, en particular el volumen y el tipo de ataques (intentados o exitosos) que reflejan y afectan la exposición al riesgo cibernético de la aseguradora. g) Tener un conocimiento adecuado de la situación de los riesgos cibernéticos que enfrenta. |
Pirani ISMS Suite: a) Permite adaptarse a la estructura de procesos de la organización (macroprocesos, procesos, subprocesos o similar) e identificar los procesos críticos para la continuidad del negocio y si pertenecen a la cadena de valor o de soporte. b) Cuenta con un módulo para el registro de los activos de información, este es parametrizable y permite ver los rangos que indican de manera automática su criticidad según las variables de calificación. c) Preserva la confidencialidad, integridad y disponibilidad. Bajo estos tres aspectos se realiza el análisis y la evaluación de los activos de información. d) Permite realizar el registro de los activos de información, es parametrizable y se pueden adicionar las opciones de identificación que se deseen visualizar como software, Hardware, etc. e) Permite relacionar los procesos (módulo de procesos) al activo de información. f) Permite registrar y crear amenazas y vulnerabilidades con su respectiva clasificación. g) Ayuda a la organización a soportar la identificación de los riesgos de seguridad de la información, manteniendo centralizada la información de los riesgos, además, conociendo el inventario de riesgos relacionados a los activos de información en cualquier momento y extrayendo el reporte consolidado de riesgos. |
Las aseguradoras deben “establecer procesos de monitoreo sistemático para detectar rápidamente incidentes cibernéticos y evaluar periódicamente la efectividad de los controles identificados, incluyendo el monitoreo de red, pruebas, auditorías y ejercicios”.
Aquí se brindan recomendaciones para el monitoreo continuo y el testeo.
De manera oportuna se debe: “evaluar la naturaleza, el alcance y el impacto de un incidente cibernético; contener el incidente y mitigar su impacto; notificar a las partes interesadas internas y externas, como agentes de cumplimiento legal, los reguladores y otras autoridades públicas, así como los accionistas, proveedores de servicios de terceros y clientes, según corresponda); y coordinar las actividades de respuesta conjunta según sea necesario".
En este punto se recomienda “reanudar las operaciones de manera responsable, al tiempo que permite la remediación continua, incluso mediante: eliminar los restos dañinos del incidente; restaurar los sistemas y los datos a su estado normal y confirmar el estado normal; identificar y mitigar todas las vulnerabilidades que fueron explotadas; remediar las vulnerabilidades para prevenir incidentes similares; y comunicarse apropiadamente interna y externamente.
Aquí las aseguradoras deben "participar en el intercambio oportuno de información de ciberseguridad confiable y accionable con partes interesadas internas y externas (incluidas entidades y autoridades públicas dentro y fuera del sector financiero) sobre amenazas, vulnerabilidades, incidentes y respuestas para mejorar las defensas, limitar los daños, aumentar la conciencia de la situación y ampliar el aprendizaje".
El capítulo V de esta norma establece que las compañías de seguros deben realizar cada dos años una autoevaluación del grado de cumplimiento de sus prácticas de gestión de riesgo operacional y en forma anual en lo relativo a ciberseguridad.
Y el capítulo VI dice que “deberán comunicar a la Comisión los incidentes operacionales que afecten o pongan en riesgo la continuidad del negocio, los fondos o recursos de la entidad o de sus asegurados, la calidad de los servicios o la imagen de la institución”. El envío de esta comunicación debe comenzar a informarse el 30 de septiembre de 2021.
Finalmente, a través de esta norma, la Comisión para el Mercado Financiero también reconoce la importancia del uso de herramientas para agregar mayor valor a la gestión de riesgos operacionales y de ciberseguridad, por eso, insta a las compañías a implementarlas en todo el proceso de la gestión de sus riesgos. En Pirani podemos ser el aliado de tu organización.