Derecho de seguros
| Autor | Alejandro Quintana |
| Páginas | 52-53 |
Industria Legal
aqv@grasty.cl
Alejandro Quintana
Magdalena 140, piso 20, Las Condes, Santiago
www.grasty.cl
El pasado 18 de mayo del presente año, la
Comisión para el Mercado Financiero (la
“CMF”) a través de la Norma de Carácter
General N° 454 impartió instrucciones para la
gestión de riesgo operacional y ciberseguridad
para compañías de seguros y reaseguros.
En lo que respecta a la ciberseguridad, y a
la luz de las mejores prácticas reconocidas
internacionalmente respecto de la prevención
de los riesgos en esta materia, consolidadas
principalmente en la Asociación Internacional
de Supervisores de Seguros (“IAIS” por su
sigla en inglés), las políticas que adopten las
compañías deben construirse en base a ocho
elementos fundamentales, donde se delinean
los desafíos a adoptar y detallan
recomendaciones, a saber:
1. Estrategia y marco de ciberseguridad
adecuada a las prácticas internacionales y
usos de la industria;
2. Gobierno, roles y responsabilidades
para el personal a cargo;
3. Evaluación de riesgo y control, identificar
los riesgos y administrarlos dentro de la
tolerancia establecida por la autoridad;
4. Monitoreo para detectar eficientemente
incidentes;
5. Respuesta, evaluar, contener y mitigar
los efectos del incidente;
6. Recuperación, reanudar la operación de
manera responsable;
7. Intercambio de información por agentes
de la industria; y
8. Aprendizaje continuo, revisar
constantemente las políticas adoptadas.
Es responsabilidad del directorio y de la
alta gerencia de la compañía la
implementación de los principios establecidos
en esta norma, como además monitorear el
cumplimiento de los mismos. La CMF
controlará anualmente el grado de
cumplimiento de esta práctica, lo anterior por
medio de un sistema de autoevaluación que
deberá ser completado y reportado por el
fiscalizado al regulador.
Esta normativa, que entra en vigencia el 30 de
septiembre de 2021, impone nuevos estándares
de transparencia en caso de incidentes. A mayor
abundamiento, la compañía se encontrará
obligada a reportar incidentes operacionales en
un plazo máximo de 30 minutos una vez la
compañía tome conocimiento de los mismos. En
relación a los usuarios o clientes, el incidente
deberá ser oportunamente informado hasta su
completa recuperación, en caso que el incidente
afecte la calidad o continuidad de los servicios a
los clientes o se trate de un hecho de público
conocimiento. Por último, los incidentes
asociados a ciberseguridad serán compartidos
entre los fiscalizados, a modo de proteger a los
usuarios y sistemas en su conjunto, como
también para prevenir futuros incidentes.
DERECHO DE
SEGUROS
La gestión del riesgo de ciberseguridad
en compañías de seguro y reaseguro.
Para continuar leyendo
Solicita tu prueba