• Modificar
    página:
  • A-
  • A+
Leer

Ciberseguridad: Una hoja de ruta para su desarrollo en los sistemas supervisados

Si bien el entorno digital ofrece grandes oportunidades, también acentúa algunos riesgos que se asumen en la actividad supervisada.

El uso de nuevas tecnologías viene propiciando una transformación digital en la provisión de productos y servicios a las personas, y la actividad supervisada por la Superintendencia de Banca, Seguros y AFP (SBS) no es una excepción. Si bien este entorno de transformación ofrece grandes oportunidades, también acentúa algunos riesgos1/2 que se asumen en la actividad supervisada, lo que incrementa el reto en la gestión del riesgo. Ello sucede con el riesgo operacional y, más específicamente, con aquellos que provienen de un entorno cibernético.

Elementos fundamentales

Al aumentar la sofisticación, la frecuencia y la persistencia, los riesgos de origen cibernético se están volviendo más peligrosos y diversos, lo que amenaza con afectar el normal funcionamiento del sector financiero, que cada día está más interconectado.

Para abordar estos riesgos, existen elementos fundamentales3/ que permiten a una organización diseñar e implementar su estrategia de seguridad cibernética y un marco operativo que lo implemente. Estos elementos son:

  • Elemento 1. Establecer una estrategia de ciberseguridad y adoptar un marco de referencia para su manejo, que debe guardar proporcionalidad con el tamaño, complejidad y perfil de riesgo de la organización.
  • Elemento 2. Establecer una estructura de gobierno, que incluya el establecimiento de los roles y responsabilidades que permitan implementar, y supervisar la efectividad y eficiencia de la estrategia y el marco de referencia adoptados.
  • Elemento 3. Evaluar los riesgos y controles, de forma que permita un manejo priorizado de dicho tipo de riesgos, comenzando por los servicios y actividades más expuestos, a fin de que los riesgos existentes sean gestionados.
  • Elemento 4. Monitorear la infraestructura y el entorno, de forma que permita detectar rápidamente la ocurrencia de los incidentes de ciberseguridad, así también determinar la efectividad de los controles existentes en la organización.
  • Elemento 5. Responder oportunamente ante incidentes de ciberseguridad, que permita una evaluación de la naturaleza, alcance e impacto de los mismos, habilite su contención, y así también facilite la comunicación y la coordinación de respuestas conjuntas con otras partes involucradas.
  • Elemento 6. Recuperar las operaciones, a la par de que la remediación del incidente se efectúa, eliminando y corrigiendo las vulnerabilidades que propiciaron el incidente, así como comunicando ello a las partes relevantes.
  • Elemento 7. Compartir información oportuna y confiable entre las partes involucradas, a fin de mejorar las defensas, limitar el daño potencial e incrementar el nivel de concienciación y de aprendizaje en las organizaciones.
  • Elemento 8. Aprender continuamente, mediante una revisión periódica de la estrategia y el marco de referencia adoptados, y cuando la situación lo requiera; ello a fin de asignar los recursos necesarios e incorporar a la gestión las lecciones aprendidas.

Hoja de ruta

A fin de organizar los esfuerzos necesarios en los sistemas supervisados, que permitan avanzar, la SBS ha formulado una hoja de ruta con cinco pilares para el desarrollo de la ciberseguridad4/:

  • Pilar 1. Desarrollar el marco regulatorio como extensión del marco legal aplicable.
  • Pilar 2. Propiciar las implementaciones técnicas y procedurales correspondientes.
  • Pilar 3. Asegurar la habilitación de las estructuras organizativas necesarias.
  • Pilar 4. Velar por el desarrollar capacidades en las personas.
  • Pilar 5. Promover la cooperación entre los involucrados.

cid:image001.png@01D588D6.922BF1B0

A la fecha, en el marco de dicha hoja de ruta, la Superintendencia se encuentra trabajando en los siguientes aspectos:

  • Una actualización a la regulación sobre seguridad de la información, que incorporará requerimientos para el manejo de la ciberseguridad, el uso de servicios de computación en la nube y la autenticación en medios digitales.
  • Se encuentra en estudio la viabilidad de implementación de un Equipo de Respuesta ante Incidentes de Ciberseguridad (CSIRT, por sus siglas en Inglés) sectorial.
  • Se encuentra en planificación la realización de un ejercicio sectorial de continuidad para un escenario de ciberataque que afecte al sistema financiero.
  • La práctica de supervisión se encuentra en revisión para adaptarla y mantenerla acorde a la naturaleza del riesgo cibernético.
  • Se procederá a formular y desarrollar un programa de acreditación profesional en las empresas supervisadas y la propia Superintendencia.

Finalmente, debemos destacar que, sobre la base de los esfuerzos antes mencionados, en la SBS se buscará articular la colaboración necesaria para el manejo de la ciberseguridad, ello sin perjuicio de otras iniciativas que tengan el mismo propósito. El fin último es lograr minimizar el impacto negativo que puedan tener estos incidentes en el adecuado funcionamiento del sistema financiero, en beneficio de los usuarios y del público en general.

--------------

1/ BCBS, Implicaciones de los avances en tecnofinanzas (fintech) para los bancos y los supervisores bancarios, https://www.bis.org/bcbs/publ/d431.htm
2/ IAIS, Application Paper on Supervision of Insurer Cybersecurityhttps://www.iaisweb.org/file/77763/application-paper-on-supervision-of-insurer-cybersecurity
3/ G7 statement: Fundamental elements of cybersecurity in the financial sector,  https://ec.europa.eu/info/system/files/cybersecurity-fundamental-elements-11102016_en.pdf
4/ United Nations, ITU Global Cybersecurity Agenda, High Level Expert Group (HLEG), Report of the Chairman of HLEG,  https://www.itu.int/en/action/cybersecurity/Documents/gca-chairman-report.pdf 


Desea imprimir Boletin

Ciberseguridad: Una hoja de ruta para su desarrollo en los sistemas supervisados, haz click en imprimir