SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta:...
Transcript of SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta:...
![Page 1: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/1.jpg)
Presentación Comisión Conjunta: Seguridad de las redes informáticas
Mario Farren R.Superintendente de Bancos e Instituciones Financieras
Julio 2018 1
![Page 2: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/2.jpg)
§ Contexto
§ Enfoque de Supervisión SBIF / Riesgo Operacional
§ Avances SBIF en Materia de Riesgo Operacional y Ciberseguridad
§ Agenda SBIF en Ciberseguridad
§ Moción de Proyecto de Ley
Temas
2
![Page 3: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/3.jpg)
Contexto
3
![Page 4: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/4.jpg)
El tema de ciberseguridad es multidimensional
PolíticaNacionalCiberseguridad
ServiciosFinancieros
Energía
Ámbitosectorial
Normativa Supervisión Industria Usuarios CoordinaciónReguladores
Bancos
ÁmbitosdeAcción
………
InfraestructuraCríticadelaInformación(ICI)
SeguridadPública
SaludAguaTelecom Transporte AdmPública
Protec CivilyDefensa
![Page 5: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/5.jpg)
La profundidad del sistema financiero local es alta en relación a los países de la región y ha evolucionado rápidamente
Créditodomésticoprovistoporinstitucionesfinancieras(%delPIB,2016)
EvolucióndelcréditodomésticoprovistoporinstitucionesfinancierasenChile(%delPIB,2016)
Fuente:BancoMundial(2018).5
![Page 6: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/6.jpg)
El grado de bancarización en Chile se encuentra en niveles de países de ingresos medio alto
Inclusiónfinancieraporgruposdeingreso(%población+15años,2017)
Fuente:GlobalFindexDatabase.BancoMundial(2018).
6
InclusiónfinancieraenAméricaLatina(%población+15años,2017)
![Page 7: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/7.jpg)
Evolucióndelatasadeusodecanalesdeatenciónenlaindustriabancaria(porcentajedecuentacorrentistas)
Los canales bancarios de atención remota han aumentado su importancia relativa durante los últimos años
Fuente:IPSOS(2017).PointofView:¿CómovenlosclienteslabancamóvilenChile?
88
59
89
26
85
54
94
36
87
65
94
45
0 10 20 30 40 50 60 70 80 90 100
Sucursal
telefónico
paginaWeb
Aplicaciónmovil
2017 2016 2015
7
![Page 8: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/8.jpg)
El uso de las aplicaciones móviles facilita el desarrollo de las transferencias electrónicas de información y fondos
8
![Page 9: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/9.jpg)
Penetracióndeinternetsegúntipodeconexión(númerodeconexionescada100habitantes)
La importancia de la banca móvil como canal de atención bancario está asociado en buena medida a la penetración de internet dentro del país
Fuente:Subtel,estadísticassectoriales
18 22 28 23 2010 7 4 2
48
18 29 3648
4438
30
3 13 34 58
10
11
1213
1314
15
16
17
0
20
40
60
80
100
120
2009 2010 2011 2012 2013 2014 2015 2016 2017
Móvil2G Móvil3G Móvil4G Fija
3241
5864 69
7579
107
92
9
![Page 10: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/10.jpg)
Númerodeclientes(*) Númerodeoperaciones(**)
(*)clientesconclavedeaccesoalsitioprivadodelbancoyquerealizantransaccionesenelperíodo(diciembredecadaaño).(**)personasyempresas
Evolución de las operaciones de transferencia electrónica de fondos a través de internet (millones)
0,3
1,9
9,3
0,01,02,03,04,05,06,07,08,09,010,0
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
2017
Usuarios
8
147
508
0
100
200
300
400
500
600
2000
2001
2002
2003
2004
2005
2006
2007
2008
2009
2010
2011
2012
2013
2014
2015
2016
2017
Transacciones
Fuente:SBIF
10
![Page 11: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/11.jpg)
Índice de Fortaleza Bancaria del Foro Económico Mundial
11
1. Finlandia2. Canadá3. Nueva Zelandia4. Australia5. Chile6. Singapur7. Hong Kong8. Noruega9. Luxemburgo10.Israel
El sistema bancario chileno lidera en Latinoamérica y se ubica entre los cinco mejores a nivel mundial.
![Page 12: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/12.jpg)
Enfoque de Supervisión SBIF / Riesgo Operacional
12
![Page 13: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/13.jpg)
Supervisión del Riesgo OperacionalGOBIERNOSOBRELAMATERIA
GOBIERNOSOBRELMATERIA
SUPERVISIÓNDELAGESTIÓNDELRIESGOOPERACIONAL
GestióndelRiesgo
Operacional
GestióndelaContinuidaddelNegocio
GestióndelaPrevenciónde
Fraudes
GestióndelRiesgo
Tecnológico
GestióndelaSeguridaddelaInformación
GestióndelosServicios
Externalizados
GestióndeProcesos
Ciberseguridad
13
![Page 14: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/14.jpg)
Avances SBIF en Materia de Riesgo Operacional y Ciberseguridad
14
![Page 15: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/15.jpg)
Normativas impulsadas por la SBIF en Materia de Riesgo Operacional y Ciberseguridad
Normativas Alcance
Capítulos1-13(emitida01/2000,últimamodificación01/2018)
• Norma la evaluación de gestión de los bancos “Clasificación de gestión ysolvencia”, dentro de lo cual se encuentra el Riesgo Operacional que abarca losámbitos de continuidad del negocio, seguridad de la información, administraciónde proveedores, Gestión de los procesos del negocio.
• En enero de 2018, se incorpora específicamente la evaluación del ámbito de laCiberseguridad, entre ellos, la identificación de la infraestructura crítica queconsidera los activos lógicos como físicos.
Capítulo20-7RAN(emitida07/2000,últimamodificación12/2017)
• Norma las “Externalizaciones de Servicios”, estableciendo los lineamientosmínimos que deben observar las entidades al externalizar servicios en el país o enel extranjero.
• En diciembre 2017 se introduce la última modificación donde se definenlineamientos de diligencia reforzada que deben establecer las entidades bancariasal externalizar servicios en la modalidad Cloud Computing (Nube).
15
![Page 16: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/16.jpg)
Normativas impulsadas por la SBIF en Materia de Riesgo Operacional y Ciberseguridad
Normativas Alcance
Capítulo1-7RAN(emitida08/2008,últimamodificación03/2015)
• Norma la “transferencia electrónica de información y fondos”, estableciendoprincipalmente lineamientos de seguridad tales como: encriptación de datos; disponerde a lo menos dos factores de autentificación, uno de ellos dinámico; firma digitalavanzada para las transferencias superiores a ciertos montos definidos por el banco.Considera la inmediatez en las TEF que se realicen a través de canales electrónicos.
• El 2015 se agregan modificaciones, referidas a condiciones mínimas a cumplir en elfuncionamiento de cajeros automáticos (disponibilidad sobre el 95%, sistemas demonitoreo, políticas y procedimientos, entre otros).
Capítulo20-8(emitida03/2015,últimamodificación01/2018)
• Norma la “Comunicación inmediata de incidentes operacionales relevantes”,estableciendo que las instituciones deberán informar de inmediato a estaSuperintendencia, los incidentes operacionales relevantes, que son aquellos queafecten la continuidad del negocio, la seguridad de la información o la imagen de lainstitución.
• En enero de 2018 se adiciona la obligación de que las entidades bancarias cuenten conuna base de incidentes de ciberseguridad, que tiene como objeto establecer unlenguaje y nivel de información mínimo y homogéneo en la industria, así como permitirla gestión integral de los incidentes generados al interior de las entidades fiscalizadas.
16
![Page 17: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/17.jpg)
Normativas de Riesgo Operacional en el ámbito de la Seguridad de la información y continuidad del negocio.
Normativas Alcance
CartaCircularN°1-2016(emitida06/2016)
Seguridad de la Información y Ciberseguridad: Enfatiza un mayor involucramiento delDirectorio en la adopción de mitigadores para este riesgo y la realización de evaluacionesperiódicas a los sistemas de control, así como la suficiencia y efectividad de las medidas deprotección y detección a mantener, y la capacidad de respuesta y recuperación ante lamaterialización de este tipo de amenazas.
Capítulo20-9(emitida11/2016)
Se emite el Capítulo “Gestión de la Continuidad del Negocio”, el que establece unconjunto de lineamientos y buenas prácticas a ser consideradas por las entidades en esteámbito. Algunos principales aspectos son:•Se establece que la entidad debe contar con una estrategia de administración,asignándole al Directorio la responsabilidad en la aprobación de las directrices y en lamantención de una función de riesgos e instancias de alto nivel para la administración.•Se identifican elementos relevantes de diseño y construcción de los sitios deprocesamientos de datos y configuraciones de la infraestructura tecnológica quecontribuyen a fortalecer la resiliencia operacional de las entidades.•Se indican lineamientos ante contingencias de carácter sistémico las que requierencoordinaciones entre las diferentes instituciones, reguladores y proveedores, entre otros.
Capítulo8-41(emitida11/2017)
Se emite nuevo Capítulo Emisión de tarjetas de pago, el cual incluye requisitos deseguridad, identificación, autentificación, autorización y registro de las transacciones.
17
![Page 18: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/18.jpg)
Agenda SBIF en Ciberseguridad
18
![Page 19: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/19.jpg)
Agenda SBIF en materia de Ciberseguridad
19
CoordinaciónReguladores
• ParticipaciónenelConsejodeEstabilidadFinanciera(CEF)₋ ParticipaciónyacuerdosComitédeEstabilidadOperacionaldelCEF₋ Seguimientoyanálisisdecasosdeincidentes₋ AsesoríaInternacional(FMI)₋ FirmadeMoU
• ComunicaciónconReguladoresNacionaleseInternacionales₋ Comunicaciónconautoridadesministerialesnacionales₋ InteracciónconreguladoresdelComitédeSuperintendentesdel
SectorFinanciero(CSSF)₋ ComunicaciónconSuperintendenciaFinancieradeColombia₋ AgendadereunionesconreguladoresdeUSA(NYFED/OCC/
NYSFD)₋ Otrosreguladoresenagenda
![Page 20: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/20.jpg)
Agenda SBIF en materia de Ciberseguridad
20
Supervisión• SupervisióndeIncidentesOperacionalesydeCiberseguridad
• ReunionesconBancos,Cooperativas,Sags,Retail,Swift
• SolicitudesEspecialesdeInformación₋ GastosenTIyciberseguridad₋ Basededatosincidentes₋ RequerimientoabancosdeautoevaluaciónSwift₋ Requerimientoabancosdeplanesdeadecuacióntarjetas(chip)y
actualizaciónsistemasoperativosATMs
• Reunionesconexpertos:Microsoft,Deloitte,BCG,IBM,BOA,JPMorgan,entreotros
![Page 21: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/21.jpg)
Agenda SBIF en Materia de Ciberseguridad (cont.)
21
Industria• Citacióngerentesgeneralesprincipalesbancos
₋ Propuestasparamitigarriesgosdefraude(cortoymedianoplazo)₋ Reforzamientodemecanismosparacompartirinformación
• Citacióngerentesgeneralesemisoresnobancarios
Usuarios• DenunciaanteelMinisterioPúblico• Comunicadospúblicosrespectodeincidentes• EducaciónFinanciera
Regulación• PerfeccionamientoNormativo
₋Revisiónnormativainternacional₋Reforzamientodenormativaactual(informaciónyalertas)₋Estudiodeestándaresdeseguridadyservicio
![Page 22: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/22.jpg)
Moción de Proyecto de Ley
22
![Page 23: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/23.jpg)
Reformaspropuestas.Sehanpropuestolassiguientesmodificacionesalosartículos19y62delaLGB:
1.- Enelincisoprimerodelartículo19,sustituirlaspalabras"cincomil"porlassiguientes:"quincemil".
2.- IntrodúceseenelNivelBdelincisoprimerodelartículo62,entrelasexpresiones"Incluyealasinstitucionesquereflejanciertasdebilidadesenloscontrolesinternos,"y"sistemasdeinformaciónparalatomadedecisiones,"losiguiente:"seguridaddesusredes,".
Proyecto de Ley
23
![Page 24: SBIF - Presentación Comisión Conjunta: Seguridad de las ... · Presentación Comisión Conjunta: Seguridad de las redes informáticas Mario FarrenR. Superintendente de Bancos e](https://reader036.fdocumento.com/reader036/viewer/2022081522/5edfc517ad6a402d666b1508/html5/thumbnails/24.jpg)
Presentación Comisión Conjunta: Seguridad de las redes informáticas
Mario Farren R.Superintendente de Bancos e Instituciones Financieras
24Julio 2018