Visión de los nuevos marcos regulatorios y como un programa efectivo de seguridad ayuda a la gestión de riesgos

Andrés PumarinoAbogado

www.legaltrust.cl

2020 5.500 Millones de personas (70% población mundial) conectadas a internet PrincipalmenteCon dispositivos móviles – Informe Microsoft Ciberspace 2025

Habrá que aprender a desaprender

En los próximos 5 años, la transformación digital desplazará del mercado a cerca del40% de las actuales compañías – Fuente informe Digital Vortex. How Digital Disruption is redefining Industries Cisco, 2015

4 de cada 10 empresas se quedará fuera de la transformación digital. 25% de Las organizaciones está enfrentando la digitalización de manera proactiva.

www.legaltrust.cl 2

Transformación Digital

Transformación Digital Ejes de Transformación

www.legaltrust.cl 4

Ciberseguridad

Fuente: Pulso 5 julio de 2016

www.legaltrust.cl 6

7 www.legaltrust.cl

8 www.legaltrust.cl

Fuente: UIT www.legaltrust.cl 9

www.legaltrust.cl 10

Fuente: Informe PwC/ ESE, abril 2016

www.legaltrust.cl 11

Fuente: Informe PwC/ ESE, abril 2016 www.legaltrust.cl 12

www.legaltrust.cl 13

Cibercrimen

14

¿Qué persiguen hoy en día los delincuentes?

Internet

Clientes

Servidor Web

Host/Servidores Aplic.

SSL

Datos en volumen

https

www.legaltrust.cl

www.legaltrust.cl 15

www.legaltrust.cl 16

Fuente: La Tercera 10 de julio de 2017, Ministerio Público

www.legaltrust.cl 17

• Reforma a la Ley 19.628 de Protección de datos.

• Proyecto de Reforma de la Ley General de Bancos ingresó al Congreso. (12 junio de 2017).

• Reforma Laboral . Opinión de la SBIF a la DT. sobre servicios mínimos: ellos deben asegurar continuidad de cadena de pagos (12 de

mayo 2017).

• Publicación de la Política Nacional de Ciberseguridad (27 de abril 2017).

• Publicación de la ley 21.000 (23 de abril 2017). Crea la Comisión para el Mercado Financiero que reemplaza a la SVS.

• Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido también como el Convenio de Budapest (21 abril 2017).

• Ley N° 20.950 que autoriza la emisión de medios de pago con provisión de fondo por entidades no bancarias (en adelante, la “Ley

de Prepago”) (29 octubre de 2016).

• Carta Circular a los Bancos N°1 de las Sociedades de Apoyo al Giro N° 1 (7 de junio de 2016).

www.legaltrust.cl 18

Marco regulatorio

• Instalación de la Norma de Basilea III.

• Reemplazo de la SBIF por la Comisión de Bancos.

• Entrada en funcionamiento de la Comisión para el Mercado Financiero que reemplaza a la SVS (agosto del 2018)

• El 17 de mayo pasado se informó de la implementación de tecnología blockchain en Bolsa de Comercio de Santiago

sistema de venta corta y la primera a nivel mundial en incorporar la solución de Securities Lending Blockchain.

• Normas técnicas del Banco Central Le y 20.950 “Tarjetas de Prepago” , llegada de nuevos actores.

• Regulación de Criptomonedas (pronunciamiento del regulador).

• SBIF publica para comentarios norma sobre externalización de servicios en modalidad Cloud Computing 21 agosto 2017)

Lo que viene

www.legaltrust.cl 19

www.legaltrust.cl 20

Comentarios de la norma RAN sobre externalización de servicios en modalidad Cloud Computing (21 agosto 2017)

• Actualización del Capítulo 20-7 de la Recopilación Actualizada de Normas y estarán enconsulta pública hasta el 21 de septiembre de 2017.

• Las entidades podrán contratar servicios a través de la nube sin consideracionesadicionales a las mencionadas en los numerales I), II), III) y IV) cuando se trate deservicios no críticos. En dicho caso, para la información procesada en el exterior referidaa este tipo de servicios se deberá contar con respaldos permanentes y actualizados enterritorio nacional.

• En el evento que una entidad evalúe la contratación de un servicio en la nube para unaactividad considerada estratégica o crítica, la infraestructura tecnológica contratadadeberá ser de uso exclusivo de la entidad contratante.

• Adicionalmente, el Directorio de la entidad tendrá que realizar una diligencia reforzadadel proveedor y del servicio externalizado, considerando al menos los siguienteselementos:

www.legaltrust.cl 21

• Que el proveedor contratado cuente con certificaciones independientes, reconocidas internacionalmente, en términos de gestión de la seguridad de la información, la continuidad del negocio y que la calidad de servicios recoja las mejores prácticas vigentes.

• Que los contratos de externalización de servicios se suscriban directamente entre la institución contratante y los proveedores.

• Que la entidad cuente con informes legales respecto de la regulación sobre privacidad y acceso a la información existentes en jurisdicciones donde se esté llevando a cabo el servicio, y que haya evaluado la resolución de contingencias legales en las jurisdicciones en las que opere.

• Que la entidad tenga acceso a los informes de auditoría interna de los proveedores y que dichos informes se encuentren disponibles para ser consultados por la Superintendencia.

www.legaltrust.cl 22

• Se incorporan en el Capítulo de la norma RAN algunos requerimientos en el ámbito de la seguridad de la información y continuidad del negocio que aplican para las externalización de servicios en general.

• La norma será aplicable a bancos, sus filiales y sociedades de apoyo, y también a los emisores y operadores de tarjetas de pago.

www.legaltrust.cl 23

3. Las prácticas más usadas, el mantenimiento de políticas de seguridad (74%). La realización de

auditorías internas o externas (38%) y la clasificación de la información (31%). ¿Cuán efectivas pueden

ser aquellas políticas que no están basadas en la clasificación de la información según su criticidad?

Los reguladores empieza a preocuparse de los temas legales y el entorno digital (Cloud computing,

criptomonedas, protección de datos, seguridad de la información)

2. Nos encontraremos con un Directorio más preocupado por la contingencia legal y sus exigencias.

Ej. NCG 385

Conclusiones

1. Las empresas deben adaptarse a la transformación digital, preparando sus equipos y también

sus procesos. Ej. Contratos, digitalización, políticas internas.

4. Los cambios que hemos vistos deben llevar a las empresas a Concientizar – Comunicar – Reunir – Educar –

Motivar – Retroalimentar – Proteger.

www.legaltrust.cl 24

Gracias

Andrés PumarinoAbogado

apumarino@legaltt.comwww.legaltrust.cl