Lineamientos

Estos lineamientos fueron definidos como guía para que se aborden los desafíos actuales de la ciberseguridad en la planificación estratégica, de forma que se analice, madure y/o adopten paulatinamente estas actividades en el gobierno y la gestión de sus instituciones.

Los servicios financieros a través de medios digitales siguen expandiéndose, demandando nuevas tecnologías y una creciente interconexión entre quienes participan del sistema financiero.

Este contexto, presenta desafíos a todo el ecosistema financiero, sean o no regulados por el Banco Central, como entidades financieras, entes operadores de redes, cámaras compensadoras, terceros prestadores de servicios, Fintechs, entre otros. Por ello, es primordial contar con una planificación que aborde los nuevos riesgos asociados a esta expansión digital.

Los siguientes lineamientos tienen como objetivo acompañar a establecer e incorporar en la planificación estratégica de cada organización la ciberseguridad y la ciberresiliencia.

Lineamientos del Banco Central sobre ciberseguridad:

-Marco de Referencia de Ciberseguridad y Estrategia: el propósito de contar con una estrategia y un marco de referencia es la de orientar cómo identificar, gestionar, y reducir efectivamente los ciberriesgos de manera integrada. Las entidades financieras, los terceros y todo el sector financiero deberían establecer estrategias y adoptar un marco de ciberseguridad acorde a su tamaño, complejidad, perfil de riesgo y cultura, teniendo en cuenta las amenazas y vulnerabilidades actuales.

-Gobierno: la estrategia es responsabilidad del gobierno de la organización. Es necesario contar con estructuras, roles y funciones claramente definidos para hacer frente a esta problemática, así como contar con las previsiones en cada proyecto. Además, fomentar la comunicación entre las unidades de negocio, las distintas áreas de tecnología de la información, las áreas de riesgo, las áreas de fraude y aquellas áreas cuyas actividades se encuentren relacionadas con el control de acuerdo con sus misiones y funciones.

-Evaluación de los controles y el riesgo: analizar el riesgo presentado por las personas, procesos, la tecnología, los datos subyacentes en relación a la propia entidad y también evaluar los riesgos propios de una entidad a partir de sus funciones, actividades, canales, productos y servicios. Las evaluaciones de control deben considerar, los ciberriesgos que la entidad representa o enfrenta para el ecosistema que conforma, tales como los proveedores de servicios, organismos estatales, las personas usuarias de servicios financieros y otras organizaciones con las que interactúa.

-Monitoreo: el proceso de monitoreo debería dar soporte para mantener los niveles de riesgo definidos como aceptables por la dirección de la organización y permitir mejorar o remediar las debilidades que corresponda. Los protocolos de pruebas, de ciberejercicios y auditorías son esenciales. Dependiendo de la naturaleza de una entidad u organización, su entorno de control y perfil de riesgo, las funciones de prueba y auditoría de los controles deben ser apropiadamente independientes del personal responsable de la implementación acorde al programa de ciberseguridad.

-Respuesta: como parte de sus evaluaciones de riesgo y control, las entidades deben implementar procesos de respuesta a incidentes y otros controles para facilitar una respuesta oportuna y adecuada.Estos controles deben abordar claramente las responsabilidades en la toma de decisiones, definir procedimientos de escalamiento y establecer procesos para comunicarse con las comunidades de intereses internos y externos. Se promueven los ejercicios y la adopción de protocolos internos y entre las entidades u organizaciones del ecosistema. Los ejercicios también permiten a las entidades y las autoridades identificar las situaciones que podrían afectar la capacidad de quienes participan para mantener un nivel de servicio aceptable, funciones y actividades críticas y de otras actividades que pudieran ser relevante para el sistema financiero.

-Recuperación: una vez garantizada la estabilidad y la integridad operativa, la recuperación rápida y efectiva de las operaciones debe basarse en la priorización de los procesos críticos y de acuerdo con los objetivos establecidos por las autoridades responsables de la entidad u organización. La confianza del sector financiero mejora significativamente cuando las entidades u organizaciones y las autoridades tienen la capacidad de ayudarse mutuamente en la reanudación y recuperación de funciones, procesos y actividades críticas. Establecer y probar planes de contingencia para actividades y procesos esenciales puede contribuir a una recuperación más rápida y efectiva.

-Compartir información: compartir información técnica, como indicadores de amenazas o modalidades sobre cómo se aprovecharon las vulnerabilidades, o modalidades de fraudes, permite a las entidades mantenerse actualizadas en sus defensas y aprender sobre los métodos que están siendo más utilizados. Esta práctica facilita la comprensión colectiva de cómo pueden aprovecharse las vulnerabilidades que afecten a todo el sector, a las funciones económicas críticas y hasta poner en peligro la estabilidad financiera. Dada su importancia, las entidades, las organizaciones y las autoridades responsables trabajarán en identificar y abordar los impedimentos para el intercambio de información.

-Aprendizaje continuo: las amenazas y vulnerabilidades del ecosistema ciber evolucionan rápidamente, al igual que las buenas prácticas y los estándares técnicos. La composición del sector financiero también cambia con el tiempo, a medida que surgen nuevos productos y servicios, y se confía cada vez más en proveedores de servicios de terceros. Las estrategias y los marcos de referencia en materia ciberseguridad necesitan revisión periódica y actualización para adaptarse a los cambios en el entorno de control y amenazas, mejorar la concientización de la persona usuaria y desplegar recursos de manera efectiva.

Para la implementación se deben considerar las características particulares, perfiles de riesgo y análisis de impacto en el negocio (BIA) según corresponda. Se espera que estos lineamientos sean adoptados por todos los regulados por el Banco Central en la construcción de un ecosistema financiero comprometido con la ciberseguridad.

Además de los principios, se publica el Glosario de Ciberseguridad. Una herramienta que establece definiciones para que todas las personas de las distintas disciplinas involucradas en los procesos de ciberseguridad dispongan de un lenguaje en común.