Nuevos desafíos en materia de riesgo operacional y ciberseguridad para las entidades aseguradoras y re-aseguradoras

La norma publicada con fecha 18 de mayo del 2021 por la Comisión para el Mercado Financiero (CMF), que aplica para entidades aseguradores y reaseguradoras, establece instrucciones en aspectos de gestión de riesgo operacional y ciberseguridad, como realizar periódicamente autoevaluaciones en estas materias. La norma reúne varias prácticas internacionales en materia de riesgo operacional y ciberseguridad, particularmente en el sector de seguros, que incluye reportes del Financial Crime Task Force (FCTF) y de la Asociación Internacional de Supervisores de Seguros (IAIS).

Los principales elementos que considera esta nueva normativa son: (a) establece principios para un adecuado sistema de gestión de riesgo operacional y ciberseguridad, en base a diversos criterios, calibrados en función del tamaño, naturaleza y complejidad de las operaciones, estrategia y perfil de riesgo de la compañía; (b) establece que la institución debe autoevaluarse cada dos años en materia de riesgo operacional y cada un año en materia de ciberseguridad; y (c) establece la obligatoriedad de reportar a la CMF los incidentes operacionales en 30 minutos desde que la compañía tomó conocimiento del incidente y que, además, se adopten las acciones pertinentes, además de compartir dicha información con el resto de la industria, para efectos que se adopten las medidas necesarias ante este tipo de amenazas de ciberseguridad.

En materia de ciberseguridad, la norma se centra en aspectos de alto nivel tendientes a que las entidades tomen debida cuenta de los siguientes factores relevantes: a) estrategia y marco de ciberseguridad; b) gobierno, particularmente referido al involucramiento del Directorio en este proceso; c) evaluación de riesgo y control; d) monitoreo de los riesgos; e) respuesta ante incidentes de ciberseguridad; e) recuperación ante incidentes; f) intercambio de información entre las diversas partes interesadas de la industria y; finalmente, g) aprendizaje continuo para generar una cultura de ciberseguridad al interior de la compañía.

En cuanto a la entrada en vigencia de la norma, antes del proceso de consulta pública, el plazo fijado era el 31 de mayo del 2021, pero diversas compañías manifestaron sus reparos sobre los costos asociados a la implementación de estas nuevas regulaciones. Como resultado, la norma amplió el plazo de entrada en vigor al 30 de septiembre del 2021 y, de manera excepcional, lo relativo a las autoevaluaciones deben ser informadas a la CMF al 31 de diciembre del 2021.

Será interesante visualizar los desafíos que conllevará la implementación de esta nueva normativa en el sector de seguros, particularmente desde una perspectiva del modelo de negocio de las compañías y la incorporación del riesgo de ciberseguridad en el ambiente de control y gestión la industria.

Esta nueva normativa va en concordancia con el dinamismo del mercado de seguros, particularmente con la incorporación de nuevas tecnologías que aumentan los riesgos, no solo de las operacionales propias del sector, sino también los derechos de los titulares de datos personales u otros activos de información, particularmente por el tipo de información que se maneja, que en diversos casos es altamente sensible.

A nivel general se ha producido la dictación de diversas regulaciones en materia de ciberseguridad, particularmente fijando la existencia de un responsable en materia de ciberseguridad, un plan de ciberseguridad y la obligación del reporte de incidentes de ciberseguridad a la autoridad competente. Entre los sectores que han dictado normativa relativa a esta materia destacan telecomunicaciones, electricidad, pensiones, casinos y juegos, bancos, y ahora seguros.

En relación al sector financiero que se encuentra regulado y supervisado por la CMF, es importante señalar que las autoridades han tratado de homogenizar las obligaciones que ya se encuentren establecidas para bancos e instituciones financieras -RAN 20-7, 20-8, 20-9 y 20-10- al sector de seguros, con las respectivas diferencias dependiendo del tipo de actividad que realizan estas compañías. Ello claramente queda reflejado por medio de la incorporación de la aprobación de estos riesgos a nivel de Directorio, la existencia de planes de ciberseguridad, que incluye un proceso de autoevaluación periódica y, finalmente, el reporte de incidentes que pueda colocar en riesgo la continuidad operacional.

Finalmente, la norma viene a reforzar la necesidad que sectores críticos para la economía del país, comiencen a gestionar de mejor forma aspectos relativos a los riesgos operacionales y, particularmente, los riesgos tecnológicos asociados a la ciberseguridad.