Gestión de riesgos
y ciberseguridad

Organización y funciónde la gestión de riesgos

En el desarrollo de su actividad, la Bolsa se ve enfrentada permanentemente a elementos o situaciones tanto internas como externas que generan incertidumbre, pudiendo afectar el cumplimiento de los objetivos.

La adopción de un Modelo de Gestión Integral de Riesgos ha permitido a la Organización, desarrollar una gestión efectiva de los riesgos inherentes a los procesos de negocio, con el fin de que consistente y sistemáticamente los riesgos sean identificados, medidos, controlados y oportunamente reportados a las instancias definidas. Con ello se facilita:

  • Establecer prácticas éticas y transparentes
  • Impulsar la adecuación y cumplimiento normativo
  • Establecer una gestión de procesos y proyectos eficaz y eficiente
  • Identificar, entender y satisfacer las necesidades de las partes interesadas
  • Entregar calidad en productos, servicios y proyecto

Todo ello, con el objetivo de proteger y crear valor para la Compañía de manera sostenible, a través del entendimiento y tratamiento de los riesgos propios de los procesos y proyectos que la Organización gestiona.

Gestión integral
de riesgos

La Bolsa de Santiago y su filial CCLV, Contraparte Central S.A. cuentan con una política de Gestión Integral de Riesgos y una de Seguridad de la Información y Continuidad de Negocios, las que proporcionan las directrices principales para gestionar de manera integrada los riesgos de la Organización.

La Gestión Integral de Riesgos (GIR) consiste en la administración coordinada de los riesgos presentes en los distintos procesos de la Organización, permitiendo un efectivo conocimiento sobre la gestión de riesgos y oportunidades en las distintas áreas. La GIR proporciona a los responsables de los procesos información para su toma de decisiones y así mitigar o administrar los riesgos del negocio. El funcionamiento de la GIR se fundamenta en un modelo de gobierno basado en la Norma NCh - ISO 31.000 y los Principios para las Infraestructuras del Mercado Financiero del Banco Internacional de Pagos, 2012.

Gobiernode la gestión de riesgos

Entendiendo que la Bolsa de Santiago es parte de un entorno cambiante, la Gestión Integral de Riesgos es una disciplina que la Organización ha adoptado para facilitar el logro de los objetivos estratégicos.

Con el fin de proporcionar las directrices para gestionar de manera integrada los riesgos a los que se encuentra expuesta la Organización, en concordancia con las leyes y normas de la Comisión para el Mercado Financiero (CMF), los Estatutos, reglamentos, códigos de ética, manuales de operaciones bursátiles y las mejores prácticas respecto a la materia, considerando como alcance los principales procesos de la Organización, se han establecido una serie de instancias para la gestión de riesgos:


Directorio

Es el máximo responsable en torno a la gestión de riesgos. En virtud de esas funciones y la alineación con estándares más exigentes, aprobó los siguientes documentos:

  • Definición de contexto organizacional
  • Orgánica de funcionamiento del sistema integrado
  • Política de Gestión Integral de Riesgos
  • Política de Gestión de Continuidad, Seguridad de la Información y Calidad. En este punto es importante destacar que el Directorio estableció explícitamente objetivos de calidad para la Organización
  • Política de Proveedores
  • Análisis de impacto al negocio
  • Plan de Gestión de Crisis
  • Política de Inversiones
Subgerencia de riesgo
y control de procesos

Encargada de desarrollar, implementar y comunicar el Modelo de Gestión Integral de Riesgos de acuerdo a lo establecido en la Política, apoyando a las distintas áreas en la identificación de los riesgos a los que están expuestos sus procesos de negocios, para posteriormente implementar los controles pertinentes que permitan mantener los riesgos dentro de los límites dispuestos por el Directorio.

Comité de riesgo
y desarrollo normativo

Para asesorar al Directorio, existe el Comité de Riesgos y Desarrollo Normativo, el cual sesiona regularmente y está compuesto por directores. A través de informes de gestión, este órgano conoce los principales riesgos en relación al riesgo aceptado, planes de acción asociados y materias normativas, entre otros.

En particular, durante el año 2020 este Comité revisó las siguientes materias:

  • Plan de trabajo para el área de riesgos
  • Metodologías de identificación y valoración de riesgos financieros y no financieros
  • Cambios a la metodología de márgenes y valorización de garantías
  • Avances del proyecto de ciberseguridad
  • Políticas y documentos aprobados por el Directorio
  • Informe de gestión de riesgos, en el cual se reporta mensualmente lo siguiente:
    • Garantías exigidas y enteradas
    • Cumplimiento de límites
    • Diversificación de garantías enteradas
    • Backtest por instrumento
    • Rentabilidad de la cartera de inversiones
    • Resultado de la revisión de riesgos y controles
    • Estado de avance de planes de acción
    • Incidentes de seguridad de la información
    • Resultados ethical phishing
    • Resultados ethical hacking y planes de acción
    • Reporte de security operation center
    • Métricas de ciberseguridad
    • Auditorías internas a la gestión de riesgos
    • Auditorías de la CMF
    • Avance planificación ejercicios de continuidad y resultados
    • Avance del plan de trabajo de la Subgerencia de Riesgo
    • Panel de control

Identificación de riesgos

Tomando como referencia los Principios para las Infraestructuras del Mercado Financiero del Banco Internacional de Pagos, los principales riesgos gestionados por la Organización son:
1. Riesgo de crédito

Es el riesgo de que una contraparte, ya sea un participante u otra entidad, no pueda cumplir íntegramente sus obligaciones financieras al vencimiento de ellas o en cualquier momento en el futuro.

La Organización establece una exigencia de garantías determinada, en función de las transacciones que realizan los corredores en el desarrollo de su actividad. Estas garantías deben ser enteradas y el cumplimiento es monitoreado permanentemente.

Dentro de esta categoría, tal como lo establecen los principios aplicables a infraestructuras del mercado financiero, se trata al riesgo de mercado, considerando la exposición de las transacciones y de las garantías a las fluctuaciones de precios.

En consecuencia, diariamente se mide la volatilidad de los factores de riesgos a que están expuestas tanto las transacciones como las garantías de terceros, de manera de establecer los requerimientos y descuentos de garantías apropiados a las condiciones de mercado.

2. Riesgo de custodia y de inversión

Corresponde al riesgo de pérdida con respecto a los activos mantenidos en custodia en caso de insolvencia, negligencia, fraude, deficiente administración o mantenimiento inadecuado de registros de un custodio. A su vez, el riesgo de inversión corresponde al riesgo de pérdida al que se enfrenta la organización al invertir sus propios recursos o los de sus participantes.

El riesgo de custodia es tratado a través de los variados controles establecidos principalmente para los riesgos operacionales, siendo una categoría distintiva por la importancia para la Organización.

El riesgo de inversión, tal como lo establecen los principios aplicables a infraestructuras del mercado financiero, se reconoce como una fuente relevante del riesgo de mercado, relacionado a la inversión de recursos propios y la mantención de garantías de terceros.

Para controlar el riesgo de inversión, el Directorio estableció que la inversión del patrimonio de la Sociedad se enmarque en una política de inversión, la cual determina la clase de instrumentos aprobados para invertir, límites por instrumento y emisor, así como consideraciones operacionales para la gestión.

También se mide diariamente la volatilidad de los factores de riesgos a que están expuestas las garantías de terceros y recursos propios, de tal manera de establecer los descuentos apropiados o tomar acciones contingentes.

3. Riesgo operacional

Corresponde al riesgo de pérdida debido a la inadecuación o falla de los procesos, del personal y de los sistemas internos y/o de los controles internos aplicables o bien a causa de acontecimientos externos. En la presente definición, se excluyen los riesgos legales, estratégicos y de reputación.

Es importante mencionar que los riesgos de ciberseguridad son explícitamente tratados como una fuente de riesgo operacional, en concordancia a lo establecido por los Principios Aplicables a Infraestructuras del Mercado Financiero.

Para el tratamiento de estos riesgos, el Directorio aprueba anualmente la Política de Riesgos en la cual se establecen los medios para identificar, controlar y gestionar los riesgos operacionales. Cuenta con objetivos de fiabilidad operativa y nivel de servicio, los que son permanentemente monitoreados y reportados.

La Organización cuenta con sistemas de gestión de seguridad de la información y continuidad de negocios, certificados bajo estándares ISO 27.001 y 22.301, respectivamente. Estos estándares establecen la implementación de numerosos controles, entre ellos políticas de seguridad de la información, continuidad, seguridad física, relación con proveedores y controles atingentes a los riesgos de ciberseguridad, centrándose en la identificación, protección, detección, respuesta y recuperación frente a estos eventos. Asimismo, cuenta con un Modelo de Prevención de Delitos (MPD) certificado, en conformidad con la Ley N°20.393.

4. Riesgo de liquidez

Corresponde al riesgo de que una contraparte, ya sea un participante u otra entidad, no disponga de fondos suficientes para cumplir sus obligaciones financieras cuando y como se espera, aunque pueda hacerlo en el futuro.

Para mitigar este riesgo, la Organización, a través de su patrimonio, posee activos líquidos, invertidos de acuerdo a la Política de Inversiones aprobada por el Directorio, la que establece la clase de instrumentos en que se puede invertir, límites por instrumento y emisor, así como consideraciones operacionales para la gestión.

5. Riesgo general de negocio

Posible deterioro del valor de la posición financiera de la Organización como consecuencia de la caída de sus ingresos o del incremento de sus gastos, de un modo tal que estos excedan los ingresos y generen una pérdida imputable al capital.

La Entidad elabora una planificación estratégica con el fin de alcanzar sus objetivos estratégicos, cuya evolución es regularmente monitoreada por la Administración y el Directorio, a través de indicadores de gestión y de riesgo. Adicionalmente, en su patrimonio posee activos líquidos y de alta calidad crediticia suficientes para cubrir su operación en condiciones de estrés.

6. Riesgo de reputación

Se refiere a la posibilidad de una opinión pública negativa respecto a prácticas institucionales, sea cierta o falsa, que deriva en una disminución de la base de clientes, litigios onerosos y/o una caída de los ingresos.

La opinión pública negativa puede ser consecuencia de fuentes de riesgo de distinta índole, como eventos de riesgo operacional o de crédito, entre otros. En consecuencia, el tratamiento de este riesgo está ligado a la Gestión Integral de Riesgos, es decir, los controles se diseñan para mitigar las fuentes de riesgos de tal manera de tratar los riesgos en cadena que se generan a partir de un evento. Por ejemplo, el tratamiento de riesgos operacionales a través de los sistemas de gestión de seguridad de la información y continuidad consideran un Comité de Crisis y canales formales de comunicación, tanto internos como con el mercado.

7. Riesgo sistémico

Corresponde al riesgo a que está expuesta la Organización a causa de la incapacidad de uno o más participantes para cumplir sus obligaciones conforme a lo previsto, y que ello implique que otros participantes tampoco sean capaces de cumplir sus obligaciones al vencimiento.

Al igual que el riesgo de reputación, el riesgo sistémico tiene sus fuentes en otros tipos de riesgos, ya que eventos propios o de terceros pueden afectar al mercado en su conjunto. En consecuencia, el tratamiento de estos riesgos se aborda a través de los controles establecidos en las fuentes primarias del riesgo, ya sean operacionales, financieras, entre otros.

8. Riesgo legal

Riesgo de aplicación imprevista de una ley o regulación que deriva en una pérdida.

Para mitigar este riesgo, la Organización establece procedimientos y contratos de acuerdo a la ley vigente, los que son comunicados al regulador pertinente, cuando corresponde. Asimismo, son informados a los participantes para establecer una base jurídica clara y comprensible.

Gestión de seguridad y continuidad

La Bolsa y su filial han alcanzado importantes certificaciones, demostrando una operación bajo los más altos estándares.

The British Standards Institution (BSI), líder mundial en normas empresariales, otorgó en diciembre de 2014 y febrero de 2015 las certificaciones ISO 27.001 y 22.301, respectivamente, reconociendo que la Bolsa de Santiago y su filial poseen sistemas de gestión de seguridad de la información y continuidad de negocios que comprenden los principales procesos organizacionales.

Ambos estándares tuvieron sus auditorías de recertificación por parte de AENOR —las que se realizan cada tres años— durante noviembre de 2020, siendo ambas aprobadas de manera exitosa.

Continuidadde negocio

La gestión del Sistema de Continuidad de Negocio, basado en la norma ISO 22.301, implica que, apoyado en el estudio de riesgo, se realiza un análisis de impacto al negocio, evaluación de estrategias de continuidad, desarrollo de planes de continuidad y recuperación de desastres, además de ejercicios periódicos para verificar la capacidad real de respuesta y resiliencia frente a posibles contingencias.

En este contexto, la Organización identifica sus procesos críticos y mantiene preparados planes de continuidad de negocio y recuperación de desastres relacionados a escenarios de ausencia de personal clave, instalaciones físicas, sistemas de información y/o eventos de desastre natural o externos, entre otros, aumentando la seguridad y continuidad en la entrega de servicios.

Seguridad
de la informacióny ciberseguridad

La Bolsa de Santiago y su filial implementan diversos controles, estructurados de acuerdo a la ISO 27.001 e ISO 27.002, para evitar la materialización de riesgos de seguridad de la información, destacando en este tipo de riesgos, los de ciberseguridad.

Principales Iniciativas 2020
IDENTIFICACIÓN
Y GOBERNANZA
  • Se crea el equipo de ciberseguridad para contar con un área técnica dentro de la organización especializada en ataque y defensa.
  • Se adopta como estrategia a utilizar el estándar internacional NIST Cybersecurity Framework definiendo dentro del equipo de ciberseguridad 3 pilares fundamentales: Identificar, Detectar y Responder.
  • Se realizan campañas dentro de la organización para reforzar conocimientos en ciberseguridad.
  • Se realizan webinars para colaboradores internos tomando las siguientes áreas de enseñanza: phishing, fortaleza de contraseñas, desarrollo seguro y seguridad en redes sociales.
  • Se buscan convenios de colaboración en ciberseguridad con entidades externas: CSIRT (Equipo de Respuesta ante Incidentes de Seguridad Informática del Ministerio del Interior y Seguridad Pública del Gobierno de Chile) y FIAB.
  • Se implementa la herramienta que permite compartir indicadores de compromiso (IOC) con entidades externas o consultar ataques para prevenir futuras amenazas.
  • Se implementa servicio de ciberinteligencia que ayuda a la Organización a ser conscientes de la exposición en el mundo digital y proporciona protección contra una amplia gama de amenazas asociadas a la reputación y marca, continuidad de negocio, fraude, amenazas y fugas de información.
PROTECCIÓN Y
SEGURIDAD DEFENSIVA
  • Se implementa antivirus de última generación lo que permite detener amenazas avanzadas al monitorear el 100% de los procesos y tráfico de red.
  • Se extiende la protección del sistema de prevención de intrusos desde el perímetro a la red de producción, permitiendo bloquear anomalías o ataques en el tráfico de red.
  • Se implementa tecnología que permite bloquear ataques a sitios web y entregar tráfico limpio a los servidores.
  • Se incorpora seguridad ante amenazas avanzadas bloqueando accesos no autorizados, phishing y archivos maliciosos adjuntos .
Detección y
seguridad defensiva
  • Se implementa la herramienta que permite visualizar e inspeccionar todo el tráfico entrante y saliente de la red, con el fin de detectar amenazas mediante inteligencia artificial usando modelos matemáticos predictivos.
  • Se implementa la herramienta que permite detectar y auditar todos los dispositivos de red para después comparar las configuraciones con las mejores prácticas de seguridad.
  • Se implementa herramienta que permite tener una visibilidad de las vulnerabilidades mediante escaneos periódicos a toda la infraestructura TI.
  • Se implementa escaneo de seguridad automático a aplicaciones web y web service para medir su seguridad.
  • Se comienza a utilizar herramienta especializada de aplicaciones web que permite realizar pruebas automáticas y manuales para buscar vulnerabilidades.
  • Se implementa herramienta que permite gestionar y consolidar las vulnerabilidades.
  • Se implementan herramientas señuelo para los atacantes​.
Respuesta y
recuperación
  • Se crea un plan de respuesta a incidentes que permita detectar los potenciales incidentes de seguridad que puedan afectar a los activos tecnológicos de la Organización mediante la monitorización y análisis de eventos de seguridad, para gestionar y responder los incidentes de seguridad que afectan a la organización, limitar el impacto de los mismos y coordinar con otros CSIRTs/CERTs (Computer Emergency Response Team) internos y externos.
  • Se implementa la herramienta que simula un adversario o atacante.
  • Se definen los playbook de ejercicios de Ciberseguridad según NIST Computer Security Incident Handling para preparar documentación con las principales amenazas que pudieran comprometer a la Organización.

Cumplimiento
  • Se actualiza el estándar de desarrollo seguro de software con controles de seguridad.
  • Se desarrolla un estándar de seguridad en la infraestructura TI.
  • Se desarrolla un Instructivo de Gestión de Vulnerabilidades Técnicas.
  • Se crea un estándar en la seguridad en el ciclo de vida de desarrollo.
  • Se crea un Plan de Respuesta a Incidentes de Ciberseguridad.

Adicionalmente, se realizaron pruebas independientes a la seguridad interna y externa de sus redes y sistemas:

Ethical
hacking

Como parte de los controles de identificación de vulnerabilidades en los sistemas de información, se realizaron ethical hacking a la red interna y externa, así como a los principales sistemas. Como resultado de esta inspección, se definieron una serie de planes de acción para implementar las oportunidades de mejora detectadas.

Ethical
phishing

Con el objetivo de mantener alerta a los colaboradores frente a los crecientes riesgos que suponen el uso de tecnologías, regularmente se realizan campañas de ethical phishing.

Los resultados y avance de planes de acción son reportados periódicamente al Comité de Riesgos y Desarrollo Normativo y al Directorio.

Capacitaciones

Entendiendo el compromiso en la creación de valor para los grupos de interés y en la sostenibilidad de las actividades de la Bolsa de Santiago, en 2020 se llevaron a cabo las siguientes capacitaciones para todos los colaboradores:

1. CURSO DE GESTIÓN DE RIESGOS 2. CURSO DE SEGURIDAD DE LA INFORMACIÓN 3. CURSO DE CONTINUIDAD DEL NEGOCIO 4. CURSO DE MODELO DE PREVENCIÓN DE DELITOS 5. CURSO PARA EL CUIDADO DEL PHISHING (CIBERSEGURIDAD) 6. CURSO PARA EL USO DE EXTINTORES

Estas capacitaciones buscan comunicar, educar e interiorizar a los colaboradores la importancia de la gestión de riesgos para el cumplimiento de las metas y objetivos, generando una cultura preventiva dentro la Institución.

Transparencia y evaluacióndel ambiente de control

La Organización examina anualmente, de manera independiente, la pertinencia y cumplimiento de los controles internos, a través de la sección de atestiguación AT-320. Los auditores externos se pronuncian respecto a lo adecuado del diseño y efectividad operacional de dichos controles, registrando el 2020 un reporte sin observaciones.

Evolución de la efectividad de los controles sobre la reducción de los niveles de riesgo

La implementación de las distintas medidas de control de riesgos, en especial las referidas a seguridad de la información y ciberseguridad, han permitido que la evolución de la efectividad de las medidas de control para mitigar riesgos haya sido positiva durante el año 2020:

EVOLUCIÓN DE LA EFECTIVIDAD
DE LAS ACTIVIDADES DE CONTROL

PrincipalesRiesgos 2021