sbif - presentación comisión conjunta: seguridad de las ... · presentación comisión conjunta:...
TRANSCRIPT
Presentación Comisión Conjunta: Seguridad de las redes informáticas
Mario Farren R.Superintendente de Bancos e Instituciones Financieras
Julio 2018 1
§ Contexto
§ Enfoque de Supervisión SBIF / Riesgo Operacional
§ Avances SBIF en Materia de Riesgo Operacional y Ciberseguridad
§ Agenda SBIF en Ciberseguridad
§ Moción de Proyecto de Ley
Temas
2
Contexto
3
El tema de ciberseguridad es multidimensional
PolíticaNacionalCiberseguridad
ServiciosFinancieros
Energía
Ámbitosectorial
Normativa Supervisión Industria Usuarios CoordinaciónReguladores
Bancos
ÁmbitosdeAcción
………
InfraestructuraCríticadelaInformación(ICI)
SeguridadPública
SaludAguaTelecom Transporte AdmPública
Protec CivilyDefensa
La profundidad del sistema financiero local es alta en relación a los países de la región y ha evolucionado rápidamente
Créditodomésticoprovistoporinstitucionesfinancieras(%delPIB,2016)
EvolucióndelcréditodomésticoprovistoporinstitucionesfinancierasenChile(%delPIB,2016)
Fuente:BancoMundial(2018).5
El grado de bancarización en Chile se encuentra en niveles de países de ingresos medio alto
Inclusiónfinancieraporgruposdeingreso(%población+15años,2017)
Fuente:GlobalFindexDatabase.BancoMundial(2018).
6
InclusiónfinancieraenAméricaLatina(%población+15años,2017)
Evolucióndelatasadeusodecanalesdeatenciónenlaindustriabancaria(porcentajedecuentacorrentistas)
Los canales bancarios de atención remota han aumentado su importancia relativa durante los últimos años
Fuente:IPSOS(2017).PointofView:¿CómovenlosclienteslabancamóvilenChile?
88
59
89
26
85
54
94
36
87
65
94
45
0 10 20 30 40 50 60 70 80 90 100
Sucursal
telefónico
paginaWeb
Aplicaciónmovil
2017 2016 2015
7
El uso de las aplicaciones móviles facilita el desarrollo de las transferencias electrónicas de información y fondos
8
Penetracióndeinternetsegúntipodeconexión(númerodeconexionescada100habitantes)
La importancia de la banca móvil como canal de atención bancario está asociado en buena medida a la penetración de internet dentro del país
Fuente:Subtel,estadísticassectoriales
18 22 28 23 2010 7 4 2
48
18 29 3648
4438
30
3 13 34 58
10
11
1213
1314
15
16
17
0
20
40
60
80
100
120
2009 2010 2011 2012 2013 2014 2015 2016 2017
Móvil2G Móvil3G Móvil4G Fija
3241
5864 69
7579
107
92
9
Númerodeclientes(*) Númerodeoperaciones(**)
(*)clientesconclavedeaccesoalsitioprivadodelbancoyquerealizantransaccionesenelperíodo(diciembredecadaaño).(**)personasyempresas
Evolución de las operaciones de transferencia electrónica de fondos a través de internet (millones)
0,3
1,9
9,3
0,01,02,03,04,05,06,07,08,09,010,0
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
2017
Usuarios
8
147
508
0
100
200
300
400
500
600
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
2017
Transacciones
Fuente:SBIF
10
Índice de Fortaleza Bancaria del Foro Económico Mundial
11
1. Finlandia2. Canadá3. Nueva Zelandia4. Australia5. Chile6. Singapur7. Hong Kong8. Noruega9. Luxemburgo10.Israel
El sistema bancario chileno lidera en Latinoamérica y se ubica entre los cinco mejores a nivel mundial.
Enfoque de Supervisión SBIF / Riesgo Operacional
12
Supervisión del Riesgo OperacionalGOBIERNOSOBRELAMATERIA
GOBIERNOSOBRELMATERIA
SUPERVISIÓNDELAGESTIÓNDELRIESGOOPERACIONAL
GestióndelRiesgo
Operacional
GestióndelaContinuidaddelNegocio
GestióndelaPrevenciónde
Fraudes
GestióndelRiesgo
Tecnológico
GestióndelaSeguridaddelaInformación
GestióndelosServicios
Externalizados
GestióndeProcesos
Ciberseguridad
13
Avances SBIF en Materia de Riesgo Operacional y Ciberseguridad
14
Normativas impulsadas por la SBIF en Materia de Riesgo Operacional y Ciberseguridad
Normativas Alcance
Capítulos1-13(emitida01/2000,últimamodificación01/2018)
• Norma la evaluación de gestión de los bancos “Clasificación de gestión ysolvencia”, dentro de lo cual se encuentra el Riesgo Operacional que abarca losámbitos de continuidad del negocio, seguridad de la información, administraciónde proveedores, Gestión de los procesos del negocio.
• En enero de 2018, se incorpora específicamente la evaluación del ámbito de laCiberseguridad, entre ellos, la identificación de la infraestructura crítica queconsidera los activos lógicos como físicos.
Capítulo20-7RAN(emitida07/2000,últimamodificación12/2017)
• Norma las “Externalizaciones de Servicios”, estableciendo los lineamientosmínimos que deben observar las entidades al externalizar servicios en el país o enel extranjero.
• En diciembre 2017 se introduce la última modificación donde se definenlineamientos de diligencia reforzada que deben establecer las entidades bancariasal externalizar servicios en la modalidad Cloud Computing (Nube).
15
Normativas impulsadas por la SBIF en Materia de Riesgo Operacional y Ciberseguridad
Normativas Alcance
Capítulo1-7RAN(emitida08/2008,últimamodificación03/2015)
• Norma la “transferencia electrónica de información y fondos”, estableciendoprincipalmente lineamientos de seguridad tales como: encriptación de datos; disponerde a lo menos dos factores de autentificación, uno de ellos dinámico; firma digitalavanzada para las transferencias superiores a ciertos montos definidos por el banco.Considera la inmediatez en las TEF que se realicen a través de canales electrónicos.
• El 2015 se agregan modificaciones, referidas a condiciones mínimas a cumplir en elfuncionamiento de cajeros automáticos (disponibilidad sobre el 95%, sistemas demonitoreo, políticas y procedimientos, entre otros).
Capítulo20-8(emitida03/2015,últimamodificación01/2018)
• Norma la “Comunicación inmediata de incidentes operacionales relevantes”,estableciendo que las instituciones deberán informar de inmediato a estaSuperintendencia, los incidentes operacionales relevantes, que son aquellos queafecten la continuidad del negocio, la seguridad de la información o la imagen de lainstitución.
• En enero de 2018 se adiciona la obligación de que las entidades bancarias cuenten conuna base de incidentes de ciberseguridad, que tiene como objeto establecer unlenguaje y nivel de información mínimo y homogéneo en la industria, así como permitirla gestión integral de los incidentes generados al interior de las entidades fiscalizadas.
16
Normativas de Riesgo Operacional en el ámbito de la Seguridad de la información y continuidad del negocio.
Normativas Alcance
CartaCircularN°1-2016(emitida06/2016)
Seguridad de la Información y Ciberseguridad: Enfatiza un mayor involucramiento delDirectorio en la adopción de mitigadores para este riesgo y la realización de evaluacionesperiódicas a los sistemas de control, así como la suficiencia y efectividad de las medidas deprotección y detección a mantener, y la capacidad de respuesta y recuperación ante lamaterialización de este tipo de amenazas.
Capítulo20-9(emitida11/2016)
Se emite el Capítulo “Gestión de la Continuidad del Negocio”, el que establece unconjunto de lineamientos y buenas prácticas a ser consideradas por las entidades en esteámbito. Algunos principales aspectos son:•Se establece que la entidad debe contar con una estrategia de administración,asignándole al Directorio la responsabilidad en la aprobación de las directrices y en lamantención de una función de riesgos e instancias de alto nivel para la administración.•Se identifican elementos relevantes de diseño y construcción de los sitios deprocesamientos de datos y configuraciones de la infraestructura tecnológica quecontribuyen a fortalecer la resiliencia operacional de las entidades.•Se indican lineamientos ante contingencias de carácter sistémico las que requierencoordinaciones entre las diferentes instituciones, reguladores y proveedores, entre otros.
Capítulo8-41(emitida11/2017)
Se emite nuevo Capítulo Emisión de tarjetas de pago, el cual incluye requisitos deseguridad, identificación, autentificación, autorización y registro de las transacciones.
17
Agenda SBIF en Ciberseguridad
18
Agenda SBIF en materia de Ciberseguridad
19
CoordinaciónReguladores
• ParticipaciónenelConsejodeEstabilidadFinanciera(CEF)₋ ParticipaciónyacuerdosComitédeEstabilidadOperacionaldelCEF₋ Seguimientoyanálisisdecasosdeincidentes₋ AsesoríaInternacional(FMI)₋ FirmadeMoU
• ComunicaciónconReguladoresNacionaleseInternacionales₋ Comunicaciónconautoridadesministerialesnacionales₋ InteracciónconreguladoresdelComitédeSuperintendentesdel
SectorFinanciero(CSSF)₋ ComunicaciónconSuperintendenciaFinancieradeColombia₋ AgendadereunionesconreguladoresdeUSA(NYFED/OCC/
NYSFD)₋ Otrosreguladoresenagenda
Agenda SBIF en materia de Ciberseguridad
20
Supervisión• SupervisióndeIncidentesOperacionalesydeCiberseguridad
• ReunionesconBancos,Cooperativas,Sags,Retail,Swift
• SolicitudesEspecialesdeInformación₋ GastosenTIyciberseguridad₋ Basededatosincidentes₋ RequerimientoabancosdeautoevaluaciónSwift₋ Requerimientoabancosdeplanesdeadecuacióntarjetas(chip)y
actualizaciónsistemasoperativosATMs
• Reunionesconexpertos:Microsoft,Deloitte,BCG,IBM,BOA,JPMorgan,entreotros
Agenda SBIF en Materia de Ciberseguridad (cont.)
21
Industria• Citacióngerentesgeneralesprincipalesbancos
₋ Propuestasparamitigarriesgosdefraude(cortoymedianoplazo)₋ Reforzamientodemecanismosparacompartirinformación
• Citacióngerentesgeneralesemisoresnobancarios
Usuarios• DenunciaanteelMinisterioPúblico• Comunicadospúblicosrespectodeincidentes• EducaciónFinanciera
Regulación• PerfeccionamientoNormativo
₋Revisiónnormativainternacional₋Reforzamientodenormativaactual(informaciónyalertas)₋Estudiodeestándaresdeseguridadyservicio
Moción de Proyecto de Ley
22
Reformaspropuestas.Sehanpropuestolassiguientesmodificacionesalosartículos19y62delaLGB:
1.- Enelincisoprimerodelartículo19,sustituirlaspalabras"cincomil"porlassiguientes:"quincemil".
2.- IntrodúceseenelNivelBdelincisoprimerodelartículo62,entrelasexpresiones"Incluyealasinstitucionesquereflejanciertasdebilidadesenloscontrolesinternos,"y"sistemasdeinformaciónparalatomadedecisiones,"losiguiente:"seguridaddesusredes,".
Proyecto de Ley
23
Presentación Comisión Conjunta: Seguridad de las redes informáticas
Mario Farren R.Superintendente de Bancos e Instituciones Financieras
24Julio 2018