De forma reciente se publicaron documentos y normativas, tanto del Estado chileno como de los organismos reguladores que aplican e influyen en la gestión del riesgo operacional en las distintas empresas públicas y privadas. Estas regulaciones son complementarias a Basilea II, la norma que rige a nivel mundial la gestión de riesgo operacional que se aplica en el país, desde el año 2004. Esta no sólo afecta al sector financiero, ya que en los últimos años los proveedores de servicios de la banca, retail y las compañías de seguros han tenido que alinearse con estas nuevas exigencias y los proveedores que participan en la cadena de valor.
Dentro de los hitos normativos más relevantes, y que impactan a las organizaciones en la gestión de riesgo operacional, se destacan algunos hechos clave recientes:
El 1 de agosto pasado, Chile se convirtió en el primer Estado de Sudamérica en ser parte del Convenio sobre la Ciberdelincuencia del Consejo de Europa, conocido como el “Convenio de Budapest”. Las empresas, entonces, ya debiesen estar al tanto de las implicancias y el alcance que este convenio traerá a las organizaciones y las medidas de mitigación que tienen que implementar. A nivel país ya se está trabajando en una reforma legislativa relacionada con los delitos informáticos asociados y la tipificación de nuevas conductas penales vinculadas con la seguridad de la información.
Otro ítem significativo es que la Superintendencia de Bancos e Instituciones Financieras (SBIF), en diciembre de 2017, emitió una normativa que modificó la RAN 20-7, incorporando medidas y lineamientos mínimos necesarios respecto de la externalización de servicios en modalidad cloud computing. La institución fijó los requerimientos necesarios que deben cumplir los organismos para que la externalización de servicios a través de la nube no signifique un aumento de los riesgos para la empresa que contrata, sus clientes y el sistema en general.
En marzo recién pasado, se levantaron algunos hitos normativos que son relevantes para el mercado. Lo primero es destacar que la Comisión para el Mercado Financiero puso a disposición la norma que busca establecer "estructura y procedimiento de envío de normas y códigos de conducta”. Esta normativa está dirigida a sujetos que están obligados a autorregularse y que no hayan optado por formar parte del Comité de Autorregulación Financiera. Y si bien se orienta hacia el cumplimiento de la alta administración y los gobiernos corporativos, suministra las directrices respecto de los mecanismos y medidas antifraude.
El 9 de marzo entró en vigencia la Política de Ciberdefensa del Estado de Chile, que tiene por finalidad complementar la Política Nacional de Ciberseguridad en aquellos aspectos relacionados con la defensa de la soberanía del país a través de las redes digitales, la protección de infraestructura critica de información y la protección de los derechos humanos.
Con todo lo anterior, es legítimo preguntarse si las empresas aplicarán estas nuevas normativas para mejorar la seguridad de la información y la continuidad del negocio. Esto, porque, en general, las compañías no asignan los recursos humanos ni económicos para proyectos que permitan resguardar la información que utilizan. Los ataques de ciberseguridad, el robo de datos y el fraude crecen exponencialmente. En ese contexto, se hace fundamental que los los directivos piensen, analicen y aumenten los presupuestos para las áreas de Riesgo Operacional, Seguridad de la Información y Continuidad del Negocio.