El protocolo de ciberseguridad que Santander Chile informó a la SEC

El banco con mayor participación de mercado del país, Santander, entregó el 28 de marzo de este año a la Comisión de Bolsa y Valores de Estados Unidos (SEC en sus siglas en inglés) el reporte de sus operaciones correspondientes al año fiscal 2017 de aquel país, donde uno de los aspectos que informó fueron sus planes de ciberseguridad.

En el capítulo sobre riesgos de mercado cualitativos y cuantitativos, la firma presidida por Claudio Melandri detalla al regulador norteamericano que el banco "monitorea continuamente los riesgos de ciberseguridad y ha implementado medidas preventivas para estar preparado para cualquier ataque de este tipo".

Señal de ello, es que en el documento entregado a la SEC, Santander manifiesta que ha desarrollado un modelo interno de ciberseguridad "para reflejar los estándares internacionales".

De acuerdo a la información obtenida, la entidad financiera controlada por capitales españoles cuenta con un nuevo modelo de evaluación de ciberseguridad, el cual permite un "análisis in situ para identificar deficiencias y se han detectado pasos para remediar cualquiera de esas defectos en nuestros planes de defensa de ciberseguridad".

Para ello Santander indicó que "se ha fortalecido la estructura organizativa y de gobierno del banco para la gestión y el control del riesgo de ciberseguridad".

Así, la mayor entidad financiera privada del país estableció comités específicos para abordar la seguridad informática que incluyen hacer métricas de acuerdo a los estándares de ciberseguridad establecidos.

Muestra de cómo la compañía está abordando la ciberseguridad, es que el departamento de Riesgo de Tecnología y Operaciones "es la primera línea de defensa contra las amenazas a la seguridad cibernética y de los datos", espacio que se encuentra integrada a la división de Tecnología y Operaciones del banco.

Asimismo, el departamento de Riesgo No Financiero a través del área de Riesgo Tecnológico impone las políticas y controles que las diferentes áreas deben seguir con respecto a la tecnología y los riesgos de ciberseguridad de la firma.

Quien coordina todas estas áreas es el gerente división Riesgo de Santander, Franco Rizza.

Rizza está a cargo de velar por los riesgos de la firma desde 2014 cuando asumió este puesto. Previamente, se desempeñó como director del área de Recuperaciones Global de Santander, con ámbito de actuación sobre todos los países donde el grupo tiene actividades de Banca Comercial fuera de España.

El ejecutivo, además, cuenta con experiencia en riesgos al ocupar similares puestos en las operaciones de Santander en Uruguay y Argentina.

Según la información entregada por Santander a la SEC, el banco está implementando un plan con su departamento de Cumplimiento, con el objetivo de prohibir la negociación de valores "si ocurre un evento de ciberseguridad material".

Para asegurarse aún más, la firma comandada por Melandri comenta al supervisor estadounidense que "la función de inteligencia y análisis también se ha reforzado mediante la contratación del servicio de supervisión de amenazas bancarias".

Agrega el reporte que la entidad "ha avanzado en los mecanismos de registro, notificación y escalamiento de incidentes para informes internos y presentación de informes a los supervisores".

La conexión con Madrid

Imagen de la fuerte relación entre los controladores del grupo Santander con las operaciones en Chile, es que la entidad financiera señaló que se coordinan con Madrid "y las unidades en otros países con respecto a la estrategia, las mejores prácticas y la comunicación de experiencias" en ciberseguridad y otras materias relacionadas a este ámbito.

El banco precisó que también que "en materia de riesgo operacional, el rol del departamento de Riesgo Global de Santander España es definir ciertas políticas, pautas y procedimientos globales relacionados con el riesgo operacional".

De esa forma, "el Comité de Riesgo Operacional Corporativo es el principal órgano en el cual las diferentes unidades de Santander discuten y revisan los principales eventos y políticas de riesgo operacional", sostiene el documento.