Las tareas que le encargó el FMI a Chile para mejorar la ciberseguridad financiera

Tarea para la casa. Este jueves, el ministro de Hacienda, Felipe Larraín, informó  que recibió los resultados de la evaluación realizada por el Fondo Monetario Internacional (FMI) en materia de ciberseguridad.

El reporte fue realizado por expertos del organismoque en julio de este año arribaron a Chile para realizar la evaluación solicitada por el propio Ministerio de Hacienda el 25 de junio pasado, con el objetivo de determinar eventuales brechas en el marco legal, regulatorio y de supervisión del sistema financiero, asesoría que derivó en la visita de los expertos del FMI a Chile.

Las principales conclusiones de este informe son las siguientes:

1. Existe un marco legal y regulatorio desigual y fragmentado en materia de ciberseguridad en las distintas industrias del mercado financiero
2. Las regulaciones relevantes siguen un enfoque basado en principios, lo que hace que el marco regulatorio sea más estable y flexible. Sin embargo, la falta de detalles puede llevar a divergencias en el cumplimiento, dificultades en la aplicación y a insuficiente inversión en seguridad cibernética por parte de algunas de las instituciones reguladas.
3. La evaluación anual obligatoria de cada institución da como resultado la dilución de los recursos de supervisión de la ciberseguridad, limitando la capacidad de supervisar en materia de ciberseguridad según el riesgo de cada institución en esta materia.
4. Los recursos de supervisión específicos para riesgo cibernético son bajos en relación al número y la complejidad de las instituciones supervisadas.

Frente a este diagnóstico, el FMI recomienda en su informe cinco pasos clave para fortalecer la capacidad de regulación y supervisión en la gestión del riesgo cibernético:

1. Crear mandatos homogéneos y explícitos para que cada autoridad regule y supervise la gestión del riesgo cibernético en sus respectivas industrias
2. Las autoridades deben emitir directrices detalladas sobre la gestión del riesgo cibernético según la exposición a este tipo de riesgo
3. Las autoridades deben fortalecer su capacidad de supervisión del riesgo cibernético con equipos especializados en ciberseguridad y brindando oportunidades de capacitación
4. Se debe poner más énfasis en la supervisión in situ de la ciberseguridad
5. Se deben desarrollar manuales detallados de gestión de riesgos cibernéticos que indiquen la manera de implementar lo establecido en las regulaciones a nivel de principios.