Presentación Comisión Conjunta: Seguridad de las redes informáticas

Mario Farren R.Superintendente de Bancos e Instituciones Financieras

Julio 2018 1

§ Contexto

§ Enfoque de Supervisión SBIF / Riesgo Operacional

§ Avances SBIF en Materia de Riesgo Operacional y Ciberseguridad

§ Agenda SBIF en Ciberseguridad

§ Moción de Proyecto de Ley

Temas

2

Contexto

3

El tema de ciberseguridad es multidimensional

PolíticaNacionalCiberseguridad

ServiciosFinancieros

Energía

Ámbitosectorial

Normativa Supervisión Industria Usuarios CoordinaciónReguladores

Bancos

ÁmbitosdeAcción

………

InfraestructuraCríticadelaInformación(ICI)

SeguridadPública

SaludAguaTelecom Transporte AdmPública

Protec CivilyDefensa

La profundidad del sistema financiero local es alta en relación a los países de la región y ha evolucionado rápidamente

Créditodomésticoprovistoporinstitucionesfinancieras(%delPIB,2016)

EvolucióndelcréditodomésticoprovistoporinstitucionesfinancierasenChile(%delPIB,2016)

Fuente:BancoMundial(2018).5

El grado de bancarización en Chile se encuentra en niveles de países de ingresos medio alto

Inclusiónfinancieraporgruposdeingreso(%población+15años,2017)

Fuente:GlobalFindexDatabase.BancoMundial(2018).

6

InclusiónfinancieraenAméricaLatina(%población+15años,2017)

Evolucióndelatasadeusodecanalesdeatenciónenlaindustriabancaria(porcentajedecuentacorrentistas)

Los canales bancarios de atención remota han aumentado su importancia relativa durante los últimos años

Fuente:IPSOS(2017).PointofView:¿CómovenlosclienteslabancamóvilenChile?

88

59

89

26

85

54

94

36

87

65

94

45

0 10 20 30 40 50 60 70 80 90 100

Sucursal

telefónico

paginaWeb

Aplicaciónmovil

2017 2016 2015

7

El uso de las aplicaciones móviles facilita el desarrollo de las transferencias electrónicas de información y fondos

8

Penetracióndeinternetsegúntipodeconexión(númerodeconexionescada100habitantes)

La importancia de la banca móvil como canal de atención bancario está asociado en buena medida a la penetración de internet dentro del país

Fuente:Subtel,estadísticassectoriales

18 22 28 23 2010 7 4 2

48

18 29 3648

4438

30

3 13 34 58

10

11

1213

1314

15

16

17

0

20

40

60

80

100

120

2009 2010 2011 2012 2013 2014 2015 2016 2017

Móvil2G Móvil3G Móvil4G Fija

3241

5864 69

7579

107

92

9

Númerodeclientes(*) Númerodeoperaciones(**)

(*)clientesconclavedeaccesoalsitioprivadodelbancoyquerealizantransaccionesenelperíodo(diciembredecadaaño).(**)personasyempresas

Evolución de las operaciones de transferencia electrónica de fondos a través de internet (millones)

0,3

1,9

9,3

0,01,02,03,04,05,06,07,08,09,010,0

2000

2001

2002

2003

2004

2005

2006

2007

2008

2009

2010

2011

2012

2013

2014

2015

2016

2017

Usuarios

8

147

508

0

100

200

300

400

500

600

2000

2001

2002

2003

2004

2005

2006

2007

2008

2009

2010

2011

2012

2013

2014

2015

2016

2017

Transacciones

Fuente:SBIF

10

Índice de Fortaleza Bancaria del Foro Económico Mundial

11

1. Finlandia2. Canadá3. Nueva Zelandia4. Australia5. Chile6. Singapur7. Hong Kong8. Noruega9. Luxemburgo10.Israel

El sistema bancario chileno lidera en Latinoamérica y se ubica entre los cinco mejores a nivel mundial.

Enfoque de Supervisión SBIF / Riesgo Operacional

12

Supervisión del Riesgo OperacionalGOBIERNOSOBRELAMATERIA

GOBIERNOSOBRELMATERIA

SUPERVISIÓNDELAGESTIÓNDELRIESGOOPERACIONAL

GestióndelRiesgo

Operacional

GestióndelaContinuidaddelNegocio

GestióndelaPrevenciónde

Fraudes

GestióndelRiesgo

Tecnológico

GestióndelaSeguridaddelaInformación

GestióndelosServicios

Externalizados

GestióndeProcesos

Ciberseguridad

13

Avances SBIF en Materia de Riesgo Operacional y Ciberseguridad

14

Normativas impulsadas por la SBIF en Materia de Riesgo Operacional y Ciberseguridad

Normativas Alcance

Capítulos1-13(emitida01/2000,últimamodificación01/2018)

• Norma la evaluación de gestión de los bancos “Clasificación de gestión ysolvencia”, dentro de lo cual se encuentra el Riesgo Operacional que abarca losámbitos de continuidad del negocio, seguridad de la información, administraciónde proveedores, Gestión de los procesos del negocio.

• En enero de 2018, se incorpora específicamente la evaluación del ámbito de laCiberseguridad, entre ellos, la identificación de la infraestructura crítica queconsidera los activos lógicos como físicos.

Capítulo20-7RAN(emitida07/2000,últimamodificación12/2017)

• Norma las “Externalizaciones de Servicios”, estableciendo los lineamientosmínimos que deben observar las entidades al externalizar servicios en el país o enel extranjero.

• En diciembre 2017 se introduce la última modificación donde se definenlineamientos de diligencia reforzada que deben establecer las entidades bancariasal externalizar servicios en la modalidad Cloud Computing (Nube).

15

Normativas impulsadas por la SBIF en Materia de Riesgo Operacional y Ciberseguridad

Normativas Alcance

Capítulo1-7RAN(emitida08/2008,últimamodificación03/2015)

• Norma la “transferencia electrónica de información y fondos”, estableciendoprincipalmente lineamientos de seguridad tales como: encriptación de datos; disponerde a lo menos dos factores de autentificación, uno de ellos dinámico; firma digitalavanzada para las transferencias superiores a ciertos montos definidos por el banco.Considera la inmediatez en las TEF que se realicen a través de canales electrónicos.

• El 2015 se agregan modificaciones, referidas a condiciones mínimas a cumplir en elfuncionamiento de cajeros automáticos (disponibilidad sobre el 95%, sistemas demonitoreo, políticas y procedimientos, entre otros).

Capítulo20-8(emitida03/2015,últimamodificación01/2018)

• Norma la “Comunicación inmediata de incidentes operacionales relevantes”,estableciendo que las instituciones deberán informar de inmediato a estaSuperintendencia, los incidentes operacionales relevantes, que son aquellos queafecten la continuidad del negocio, la seguridad de la información o la imagen de lainstitución.

• En enero de 2018 se adiciona la obligación de que las entidades bancarias cuenten conuna base de incidentes de ciberseguridad, que tiene como objeto establecer unlenguaje y nivel de información mínimo y homogéneo en la industria, así como permitirla gestión integral de los incidentes generados al interior de las entidades fiscalizadas.

16

Normativas de Riesgo Operacional en el ámbito de la Seguridad de la información y continuidad del negocio.

Normativas Alcance

CartaCircularN°1-2016(emitida06/2016)

Seguridad de la Información y Ciberseguridad: Enfatiza un mayor involucramiento delDirectorio en la adopción de mitigadores para este riesgo y la realización de evaluacionesperiódicas a los sistemas de control, así como la suficiencia y efectividad de las medidas deprotección y detección a mantener, y la capacidad de respuesta y recuperación ante lamaterialización de este tipo de amenazas.

Capítulo20-9(emitida11/2016)

Se emite el Capítulo “Gestión de la Continuidad del Negocio”, el que establece unconjunto de lineamientos y buenas prácticas a ser consideradas por las entidades en esteámbito. Algunos principales aspectos son:•Se establece que la entidad debe contar con una estrategia de administración,asignándole al Directorio la responsabilidad en la aprobación de las directrices y en lamantención de una función de riesgos e instancias de alto nivel para la administración.•Se identifican elementos relevantes de diseño y construcción de los sitios deprocesamientos de datos y configuraciones de la infraestructura tecnológica quecontribuyen a fortalecer la resiliencia operacional de las entidades.•Se indican lineamientos ante contingencias de carácter sistémico las que requierencoordinaciones entre las diferentes instituciones, reguladores y proveedores, entre otros.

Capítulo8-41(emitida11/2017)

Se emite nuevo Capítulo Emisión de tarjetas de pago, el cual incluye requisitos deseguridad, identificación, autentificación, autorización y registro de las transacciones.

17

Agenda SBIF en Ciberseguridad

18

Agenda SBIF en materia de Ciberseguridad

19

CoordinaciónReguladores

• ParticipaciónenelConsejodeEstabilidadFinanciera(CEF)₋ ParticipaciónyacuerdosComitédeEstabilidadOperacionaldelCEF₋ Seguimientoyanálisisdecasosdeincidentes₋ AsesoríaInternacional(FMI)₋ FirmadeMoU

• ComunicaciónconReguladoresNacionaleseInternacionales₋ Comunicaciónconautoridadesministerialesnacionales₋ InteracciónconreguladoresdelComitédeSuperintendentesdel

SectorFinanciero(CSSF)₋ ComunicaciónconSuperintendenciaFinancieradeColombia₋ AgendadereunionesconreguladoresdeUSA(NYFED/OCC/

NYSFD)₋ Otrosreguladoresenagenda

Agenda SBIF en materia de Ciberseguridad

20

Supervisión• SupervisióndeIncidentesOperacionalesydeCiberseguridad

• ReunionesconBancos,Cooperativas,Sags,Retail,Swift

• SolicitudesEspecialesdeInformación₋ GastosenTIyciberseguridad₋ Basededatosincidentes₋ RequerimientoabancosdeautoevaluaciónSwift₋ Requerimientoabancosdeplanesdeadecuacióntarjetas(chip)y

actualizaciónsistemasoperativosATMs

• Reunionesconexpertos:Microsoft,Deloitte,BCG,IBM,BOA,JPMorgan,entreotros

Agenda SBIF en Materia de Ciberseguridad (cont.)

21

Industria• Citacióngerentesgeneralesprincipalesbancos

₋ Propuestasparamitigarriesgosdefraude(cortoymedianoplazo)₋ Reforzamientodemecanismosparacompartirinformación

• Citacióngerentesgeneralesemisoresnobancarios

Usuarios• DenunciaanteelMinisterioPúblico• Comunicadospúblicosrespectodeincidentes• EducaciónFinanciera

Regulación• PerfeccionamientoNormativo

₋Revisiónnormativainternacional₋Reforzamientodenormativaactual(informaciónyalertas)₋Estudiodeestándaresdeseguridadyservicio

Moción de Proyecto de Ley

22

Reformaspropuestas.Sehanpropuestolassiguientesmodificacionesalosartículos19y62delaLGB:

1.- Enelincisoprimerodelartículo19,sustituirlaspalabras"cincomil"porlassiguientes:"quincemil".

2.- IntrodúceseenelNivelBdelincisoprimerodelartículo62,entrelasexpresiones"Incluyealasinstitucionesquereflejanciertasdebilidadesenloscontrolesinternos,"y"sistemasdeinformaciónparalatomadedecisiones,"losiguiente:"seguridaddesusredes,".

Proyecto de Ley

23

Presentación Comisión Conjunta: Seguridad de las redes informáticas

Mario Farren R.Superintendente de Bancos e Instituciones Financieras

24Julio 2018