Lineamientos del Banco Central sobre ciberseguridad para el ecosistema financiero

Los servicios financieros a través de medios digitales siguen expandiéndose, demandando nuevas tecnologías y una creciente interconexión entre los distintos participantes del sistema financiero.

Este contexto, presenta desafíos a todo el ecosistema financiero, sean o no regulados por el Banco Central, como entidades financieras, operadores de redes, cámaras compensadoras, terceros prestadores de servicios, Fintechs, entre otros. Por ello, es primordial contar con una planificación que aborde los nuevos riesgos asociados a esta expansión digital.

En este sentido, estos lineamientos tienen como objetivo acompañar a establecer e incorporar en la planificación estratégica de cada organización la ciberseguridad y la ciberresiliencia.

Lineamientos del Banco Central sobre ciberseguridad:

-Marco de Referencia de Ciberseguridad y Estrategia: el propósito de contar con una estrategia y un marco de referencia es la de orientar cómo identificar, gestionar, y reducir efectivamente los ciberriesgos de manera integrada. Las entidades financieras, los terceros y todo el sector financiero deberían establecer estrategias y adoptar un marco de ciberseguridad acorde a su tamaño, complejidad, perfil de riesgo y cultura, teniendo en cuenta las amenazas y vulnerabilidades actuales.

-Gobierno: la estrategia es responsabilidad del gobierno de la organización. Es necesario contar con estructuras, roles y funciones claramente definidos para hacer frente a esta problemática, así como contar con las previsiones en cada proyecto. Así también, lo es fomentar la comunicación entre las unidades de negocio, las distintas áreas de tecnología de la información, las áreas de riesgo, las áreas de fraude y aquellas áreas cuyas actividades se encuentren relacionadas con el control de acuerdo con sus misiones y funciones.

-Evaluación de los controles y el riesgo: analizar el riesgo presentado por las personas, procesos, la tecnología, así como los datos subyacentes en relación a la propia entidad, y también evaluar los riesgos propios de una entidad a partir de sus funciones, actividades, canales, productos y servicios. Las evaluaciones de control deben considerar, según corresponda, los ciberriesgos que la entidad representa o enfrenta para el ecosistema que conforma, tales como los proveedores de servicios, organismos estatales, los usuarios de servicios financieros y otras organizaciones con las que interactúa.

-Monitoreo: el proceso de monitoreo debería dar soporte para mantener los niveles de riesgo definidos como aceptables por la dirección de la organización y permitir mejorar o remediar las debilidades que corresponda. Los protocolos de pruebas, de ciberejercicios y auditorías son esenciales. Dependiendo de la naturaleza de una entidad u organización, su entorno de control y perfil de riesgo, las funciones de prueba y auditoría de los controles deben ser apropiadamente independientes del personal responsable de la implementación acorde al programa de ciberseguridad.

-Respuesta: como parte de sus evaluaciones de riesgo y control, las entidades deben implementar procesos de respuesta a incidentes y otros controles para facilitar una respuesta oportuna y adecuada. Entre otras cosas, estos controles deben abordar claramente las responsabilidades en la toma de decisiones, definir procedimientos de escalamiento y establecer procesos para comunicarse con las comunidades de intereses internos y externos. Se promueven los ejercicios y la adopción de protocolos internos y entre las entidades u organizaciones del ecosistema. Los ejercicios también permiten a las entidades y las autoridades identificar las situaciones que podrían afectar la capacidad de los participantes para mantener un nivel de servicio aceptable, funciones y actividades críticas y de otras actividades que pudieran ser relevante para el sistema financiero.

-Recuperación: una vez garantizada la estabilidad y la integridad operativa, la recuperación rápida y efectiva de las operaciones debe basarse en la priorización de los procesos críticos y de acuerdo con los objetivos establecidos por las autoridades responsables de la entidad u organización. La confianza del sector financiero mejora significativamente cuando las entidades u organizaciones y las autoridades tienen la capacidad de ayudarse mutuamente en la reanudación y recuperación de funciones, procesos y actividades críticas. Establecer y probar planes de contingencia para actividades y procesos esenciales puede contribuir a una recuperación más rápida y efectiva.

-Compartir información: compartir información técnica, como indicadores de amenazas o modalidades sobre cómo se aprovecharon las vulnerabilidades, o modalidades de fraudes, permite a las entidades mantenerse actualizadas en sus defensas y aprender sobre los métodos más actualizados que están siendo utilizados. Esta práctica facilita la comprensión colectiva de cómo pueden aprovecharse las vulnerabilidades que afecten a todo el sector, a las funciones económicas críticas y hasta poner en peligro la estabilidad financiera. Dada su importancia, las entidades, las organizaciones y las autoridades responsables trabajarán en identificar y abordar los impedimentos para el intercambio de información.

-Aprendizaje continuo: las amenazas y vulnerabilidades del ecosistema ciber evolucionan rápidamente, al igual que las buenas prácticas y los estándares técnicos. La composición del sector financiero también cambia con el tiempo, a medida que surgen nuevos productos y servicios, y se confía cada vez más en proveedores de servicios de terceros. Las estrategias y los marcos de referencia en materia ciberseguridad necesitan revisión periódica y actualización para adaptarse a los cambios en el entorno de control y amenazas, mejorar la concientización del usuario y desplegar recursos de manera efectiva.

Para la implementación se deben considerar las características particulares, perfiles de riesgo y análisis de impacto en el negocio (BIA) según corresponda

Se espera que estos lineamientos sean adoptados por todos los regulados por el Banco Central en la construcción de un ecosistema financiero comprometido con la ciberseguridad.

Además de los principios, se publica el Glosario de ciberseguridad. Una herramienta que establece definiciones para que todas las personas de las distintas disciplinas involucradas en los procesos de ciberseguridad dispongan de un lenguaje en común.

Para consultas envie un correo electrónico a normas.segtecinf@bcra.gob.ar

Buenos Aires, miércoles 29 de abril de 2020.

Compartilo en Facebook   Compartilo en Twitter    Compartilo en Linkedin    Compartilo en WhatsApp