Documentos de Académico
Documentos de Profesional
Documentos de Cultura
PARTE AYRTON
Introducción
Una de las principales lecciones de la crisis financiera mundial iniciada en 2007 fue que la
inadecuación de las tecnologías de la información (TI) y las arquitecturas de datos de los bancos
impidió realizar una gestión integral de los riesgos financieros. Muchos bancos fueron incapaces
de agregar sus exposiciones al riesgo e identificar con prontitud y precisión sus concentraciones
a nivel de grupo bancario, así como entre líneas de negocio y entre personas jurídicas. En algunos
bancos, la incapacidad para gestionar adecuadamente los riesgos respondía a carencias en la
agregación de datos sobre riesgos y en las prácticas de presentación de los correspondientes
informes.
Ante dicha situación, el Comité de Basilea publicó orientaciones complementarias al Segundo Pilar
(proceso de examen supervisor) con el fin de mejorar la capacidad de cada banco para identificar
y gestionar riesgos para todo el grupo. En particular, insistió en que un sistema eficaz de gestión
de riesgos debía disponer de sistemas de información para la gestión para cada línea de negocio
y para el banco en su conjunto.
En el caso de los bancos de importancia sistémica mundial (G-SIB) en concreto, es esencial que
las autoridades de resolución tengan acceso a datos agregados sobre riesgos que satisfagan la
norma expuesta en el documento Key Attributes of Effective Resolution Regimes for Financial
Institutions del FSB1, así como los principios que se establecen a continuación. Ante una
recuperación, un marco de datos robusto ayudará a bancos y supervisores a anticipar problemas
futuros. También mejorará las perspectivas de encontrar opciones alternativas para restaurar la
solvencia financiera y la viabilidad cuando la entidad atraviese por tensiones graves.
Las ventajas de reforzar las capacidades de agregación de datos sobre riesgos se interpretan en
términos de reforzar la capacidad y el estatuto de la función de riesgos para emitir opiniones. Esto
conduce a ganancias en eficiencia, reduciendo la probabilidad de pérdidas, potenciando la toma
de decisiones estratégicas y, en suma, aumentando la rentabilidad.
Además, al desvanecerse con el tiempo el recuerdo de la crisis, existe el riesgo de que el refuerzo
de las capacidades de los bancos en estas áreas se relegue a un segundo plano, siendo así que
los sistemas de TI, la gestión de datos y los procesos de presentación de informes requieren unas
inversiones significativas en recursos financieros y humanos cuyos beneficios solo se
materializarán en el largo plazo.
1
Consejo de Estabilidad Financiera
sistémicos. Y por último, Una iniciativa conjunta público-privada para desarrollar un sistema de
Identificación de Entidad Jurídica (LEI) que identificará de forma exclusiva a las contrapartes de
operaciones financieras en todo el mundo, y concebido como un elemento clave para mejorar la
calidad de los datos financieros en todo el mundo.
DEFINICIÓN
«Agregación de datos sobre riesgos» se entiende como definir, recopilar y procesar datos de riesgos con
arreglo a requisitos de presentación de informes de riesgos del banco que le permitan calibrar su
desempeño en función de su apetito por el riesgo o grado de tolerancia al riesgo7. Esto incluye reordenar,
fusionar o descomponer conjuntos de datos.
A continuación se presentan un conjunto de principios cuyo propósito es reforzar las capacidades de
agregación de datos sobre riesgos de los bancos y sus prácticas internas de presentación de informes de
riesgos (los «Principios»). A su vez, la aplicación eficaz de estos Principios mejorará previsiblemente los
procesos de gestión de riesgos y de toma de decisiones en los bancos.
Para los supervisores bancarios, estos Principios complementarán otras medidas dirigidas a mejorar la
intensidad y eficacia de la supervisión bancaria. Para las autoridades de resolución, la mejor agregación de
datos de riesgos facilitaría las resoluciones bancarias, reduciendo de ese modo el potencial recurso a los
contribuyentes.
El concepto de «sustancialidad» empleado en este documento significa que los datos e informes pueden
excepcionalmente excluir información cuando ello no afecte al proceso de toma de decisiones del banco
(es decir, que sus órganos de gobierno, en particular el consejo de administración y la alta dirección, no se
hubieran visto influidos por la información omitida ni hubieran emitido un juicio distinto de haber dispuesto
de la información correcta).
Al aplicar el concepto de sustancialidad, los bancos tendrán en cuenta consideraciones más allá del número
o tamaño de las exposiciones no incluidas, tales como el tipo de riesgos implicados o la naturaleza
cambiante y dinámica del negocio bancario.
Principio 1
Gobernanza – Las capacidades del banco de agregación de datos sobre riesgos y sus prácticas de
presentación de informes de riesgos se regirán por disposiciones de gobierno sólidas y coherentes con
otros principios y directrices establecidos por el Comité de Basilea.
Principio 2
Arquitectura de datos e infraestructura de TI – El banco diseñará, construirá y mantendrá una arquitectura
de datos y una infraestructura de TI que soporten plenamente sus capacidades de agregar datos sobre
riesgos y sus prácticas de presentación de informes de riesgos, tanto en situaciones normales como de
tensión o crisis, sin perjuicio del cumplimiento de los demás Principios.
PARTE EDUARDO
Principio 6 – Adaptabilidad: El banco debe poder generar datos agregados de riesgos cuando
se lo soliciten (en momentos de tensión/crisis, cuando cambian las necesidades internas de la
empresa o cuando lo considere el supervisor), de modo que se pueda gestionar los riesgos.
Tener adaptabilidad ayuda a los bancos a gestionar mejor el riesgo y facilita el uso de las
pruebas de stress y análisis de escenarios. Tener adaptabilidad es tener procesos
flexibles (agiliza la agregación y toma de decisiones), capacidad de personalizar los datos
en función de las necesidades de los usuarios e incluir nuevos factores (externos o
regulatorios) que afectan el perfil de riesgo del banco.
Los supervisores esperan que bancos puedan agregar información debido a cambios en
sucesos económicos o incluso para que puedan realizar escenarios.
III. Prácticas de Presentación de informes de riesgos
Para gestionar adecuadamente el riesgo se necesita que los datos tengan la calidad necesaria
(exacta, clara y completa) y que la información se presente por las personas idóneas en la toma
de decisiones con tiempo suficiente para dar una respuesta adecuada. De esta manera, los
informes de riesgos, para cumplir sus objetivos, deberían cumplir los siguientes principios:
Principio 7 – Exactitud: Informes de riesgo deben transmitir de forma exacta y precisa los datos
agregados de riesgos y reflejar el riesgo adecuadamente. Estos informes deben ser validados.
La exactitud y precisión debe ser tal que el consejo de administración y alta dirección
confíen en la información agregada para tomar decisiones en materia de riesgos. Para
tener exactitud se debe tener procesos definidos para coordinar los informes con los
datos, tener un número razonable de reglas de validación y procedimientos definidos
para identificar, notificar y explicar los errores o deficiencia de integridad.
Las aproximaciones (modelos, análisis de escenarios, pruebas de estrés) son parte
integral de los informes de riesgo, es por ello que deben ser creíbles.
Los supervisores esperan que la alta dirección indique y justifique requisitos para que los
datos sean exactos y precisos tal como en la contabilidad.
Principio 8 – Exhaustividad: Informes de riesgo deben cubrir las áreas de riesgo significativas
y su alcance y profundidad debe estar relacionado a la complejidad de las actividades del
banco, su perfil de riesgo y necesidades con destinatarios
Los informes de riesgo deben incluir medidas relacionadas con riesgos (capital
económico y regulatorio), mostrar estado de medidas acordadas y dar recomendacioes.
Los supervisores esperan que bancos determinen requisitos para presentar los informes
de riesgo según su perfil de riesgo y modelo de negocio. Los informes dirigidos al consejo
de administración y alta dirección deben tener evaluaciones prospectivas del riesgo.
Principio 9 - Claridad y utilidad: Informes de gestión de riesgo deben ser concisos y fáciles de
entender sin dejar de ser exhaustivos. Asimismo incluyen información según el usuario.
Los informes de gestión de riesgo deben ayudar a la gestión y toma de decisiones, lograr
un equilibrio entre datos (en niveles superiores de organización suelen estar más
agregados por lo que se usa más información cualitativa) y estar enmarcados en las
políticas y procedimientos de presentación.
El consejo de administración debe alertar a la alta dirección cuando los informes no
cumplan con los requisitos o no proporcionen la información necesaria.
Los supervisores esperan que los informes reflejen un equilibrio entre datos (cualitativos
y cuantitativos), explicaciones y recomendaciones. Asimismo, se espera que el banco
confirme periódicamente la calidad y cantidad de la data para la toma de decisiones.
Principio 10 – Frecuencia: El consejo de administración y alta dirección deben establecer la
frecuencia para la presentación de informes de gestión de riesgo en función a sus necesidades
y riesgos. Los informes deben aumentar en momentos de tensión o crisis.
La frecuencia de los informes varía en según el tipo de riesgo, propósito y destinatarios.
El Banco debe comprobar que se generen en los plazos marcados, especialmente en
momentos de tensión.
Los supervisores esperan que en momentos de tensión o crisis, los informes se generen
en un plazo corto para reaccionar eficazmente ante los cambios.
Principio 11 – Distribución: Los informes de gestión de riesgos deben llegar a las partes
pertinentes manteniendo la debida confidencialidad
Deben existir procedimientos para recopilar y analizar rápidamente los datos, con el
objetivo de remitir la información en un tiempo oportuno.
Los supervisores esperan que el banco confirme periódicamente que se reciben los
informes en tiempo oportuno por sus destinatarios relevantes.
IV. Examen, instrumentos y cooperación en materia de supervisión
Supervisores incentivarán y vigilarán que se cumplan e implementen los principios en el banco,
de modo que los bancos alcancen los resultados deseados.
Principio 12 – Examen: Supervisores examinarán y evaluarán que se cumplan los 11 principios
anteriores en los bancos
Las revisiones hechas por los supervisores se incorporarán al plan ordinario. Los
supervisores comprobarán el cumplimiento de los principios solicitando información
puntual que debe atenderse en plazos breves. Asimismo, los supervisores podrán
acceder a exámenes realizados por auditores o expertos independientes.
Los supervisores deberán poner a prueba las capacidades de los bancos para agregar
información de datos y generar informes incluso en momentos de tensión o crisis.
Principio 13 - Acciones correctivas y medidas de supervisión: Supervisores deben contar con
instrumentos adecuados (ejm: Los del segundo pilar Basilea II) para exigir que el banco corrija
sus deficiencias en agregación de datos o prácticas en la presentación de informes de riesgo.
Supervisores deben exigir que las medidas para corregir lo mencionado sean eficaces.
Pueden requerir que el banco adopte medidas correctivas, aumentar la supervisión,
requerir un examen por un tercero o uso de capital adicional (Basilea II).
Los supervisores deben poder establecer límites a los riesgos del banco o a su
crecimiento en ciertas actividades cuando se crea que se pueden ver comprometidas
negativamente la capacidad para agregar datos de riesgos y de presentar informes.
Las exigencias de los supervisores se deben adoptar según plazo y exigencia señalada.
Principio 14 – Cooperación origen/acogida: Supervisores deben colaborar con sus homólogos
en otras jurisdicciones para supervisar y revisar los principio y su aplicación
Una colaboración eficaz mejora las prácticas de gestión de riesgos y se evitarán
exámenes redundantes. Esta colaboración (vía teleconferencia, correo electrónico o
colegios) debe estar dentro de los límites legales y debe darse periódicamente.
Los supervisores deben contrastar experiencias sobre la agregación de datos de riesgo
y prácticas de presentación de informes en diferentes partes de un grupo, así los
supervisores responderán rápidamente.
V. Calendario de aplicación y disposiciones transitorias
Los supervisores esperan que las infraestructuras de datos y de TI de bancos aseguren la
capacidad de agregación de datos de riesgos y sus prácticas de presentación de informes de
riesgos. Para asegurar que se cumplan los principios (el plazo era al 2016), los supervisores
discutirán las capacidades de agregación de datos, se autoevaluarán y podrán contratar a
expertos. Desde 2013, el Comité de Basilea vigilará el progreso en el cumplimiento de los
Principios. El Comité de Basilea compartirá sus conclusiones de G-SIB (bancos de importancia
mundial) con el FSB (Consejo de estabilidad financiera) con una periodicidad mínima anual.
TEXTO #2: GUIDANCE ON CYBER
Resumen Ejecutivo
Background. La operación segura y eficiente de las infraestructuras de los mercados financieros
(FMI) es esencial para mantener y promover la estabilidad financiera y el crecimiento económico.
En este contexto, el nivel de resiliencia cibernética, que contribuye a la resiliencia operacional de
una FMI, puede ser un factor decisivo en la resiliencia general del sistema financiero y la economía
en general.
Propósito. El propósito de este documento (Orientación) es proporcionar una guía para que las
FMI mejoren su ciberresiliencia. Específicamente, este documento proporciona orientación
complementaria a los Principios de CPMI-IOSCO para las Infraestructuras del Mercado Financiero
(PFMI), principalmente en el contexto de la gobernanza (Principio 2), el marco para la gestión
integral de riesgos (Principio 3), la firmeza de liquidación (Principio 8 ), riesgo operacional (Principio
17) y enlaces FMI (Principio 20).
Contorno. La Orientación se presenta en capítulos que describen cinco categorías principales de
gestión de riesgos y tres componentes generales que deberían abordarse en un marco de
resiliencia cibernética de FMI. Las categorías de gestión de riesgos son: gobierno; identificación;
protección; detección; y respuesta y recuperación. Los componentes principales son: pruebas;
conciencia situacional; y aprendiendo y evolucionando.
Amplia relevancia. Si bien la orientación se dirige directamente a las FMI, es importante que las
FMI asuman un papel activo en la divulgación a sus participantes y otras partes interesadas
relevantes para promover la comprensión y el apoyo de los objetivos de resiliencia y su
implementación.
Colaboración. Las soluciones efectivas pueden necesitar la colaboración entre las FMI y sus
partes interesadas a medida que buscan fortalecer su propia ciberresiliencia. El resultado de dicha
colaboración debe considerarse en su planificación estratégica individual y colectiva. Debido a que
la ciberresistencia de las FMI respalda objetivos de estabilidad financiera más amplios ya la luz de
las importantes interdependencias en los procesos de compensación y liquidación.
Gobernancia. En consonancia con la gestión eficaz de otras formas de riesgo que enfrenta una
FMI, la buena gestión de gobierno es clave. La gobernanza cibernética se refiere a los arreglos
que una FMI ha establecido para establecer, implementar y revisar su enfoque para la gestión de
riesgos cibernéticos. La gobernanza efectiva debe comenzar con un marco de resiliencia
cibernética claro y completo que otorgue alta prioridad a la seguridad y eficiencia de las
operaciones de la FMI al tiempo que respalda objetivos más amplios de estabilidad financiera. El
marco debe guiarse por una estrategia de resiliencia cibernética, definir cómo se determinan los
objetivos de resiliencia cibernética de la FMI y describir sus personas (funciones), procesos y
requisitos tecnológicos para la gestión de riesgos cibernéticos.
Identificación. En este punto se describe cómo una FMI debe identificar y clasificar los procesos
de negocio, los activos de información, el acceso al sistema y las dependencias externas. Esto
ayuda a la FMI a comprender mejor su situación interna, los riesgos cibernéticos que conlleva y
representa para las entidades de su ecosistema, y cómo puede coordinarse con las partes
interesadas relevantes al diseñar e implementar sus esfuerzos de resiliencia cibernética para asi
tratar de evitar impactos enemigos.
Protección. La resiliencia cibernética depende de controles de seguridad efectivos que protegen
la confidencialidad, la integridad y la disponibilidad de sus activos y servicios. El capítulo sobre
protección insta a las FMI a implementar controles y sistemas de diseño y procesos adecuados y
efectivos en línea con las principales prácticas de ciberresiliencia y seguridad de la información
para prevenir, limitar y contener el impacto de un ciberacoso potencial.
Detección. La capacidad de una FMI para detectar la ocurrencia de anomalías y eventos que
indiquen un posible incidente cibernético es esencial para una fuerte ciberresiliencia. La detección
temprana proporciona a la FMI un tiempo útil para organizar contramedidas apropiadas contra una
posible infracción y permite la contención proactiva de brechas reales. Dada la naturaleza sigilosa
y sofisticada de los ciberataques y los múltiples puntos de entrada a través de los cuales se puede
llegar a un compromiso, se necesitan capacidades avanzadas para monitorear de manera
exhaustiva las actividades anómalas. El capítulo sobre detección describe las herramientas de
supervisión y proceso que utilizará una FMI para la detección de incidentes cibernéticos.
Reanudación dentro de las dos horas (es decir, dos horas RTO o 2hRTO). La estabilidad
financiera puede depender de la capacidad de una FMI para liquidar sus obligaciones a su
vencimiento, como mínimo al final de la fecha de valor. Una FMI debe diseñar y probar sus
sistemas y procesos para permitir la reanudación segura de operaciones críticas dentro de las dos
horas de una interrupción y para poder completar la liquidación al final del día de la interrupción,
incluso en el caso de escenarios extremos pero plausibles. A pesar de esta capacidad para
reanudar operaciones críticas en dos horas, cuando se trata de una interrupción, las FMI deben
ejercer su juicio para reanudarlas, de modo que los riesgos para sí mismo o su ecosistema no
escalen, teniendo en cuenta que la finalización de la liquidación al final del día es crucial. Las FMI
también deben planificar escenarios en los que no se logre el objetivo de reanudación. Aunque las
autoridades reconocen los desafíos que enfrentan las FMI para lograr los objetivos de
ciberresiliencia, también se reconoce que las prácticas y tecnologías actuales y emergentes
pueden servir como opciones viables para alcanzar esos objetivos. Además, la razón para
establecer este objetivo de reanudación se mantiene independientemente del desafío para
lograrlo. El capítulo sobre respuesta y recuperación brinda orientación sobre cómo debe responder
una FMI para contener, reanudar y recuperarse de los ciberataques exitosos.
Pruebas. Una vez empleados en una FMI, los elementos de su marco de resiliencia cibernética
deben ser rigurosamente probados para determinar su efectividad general. Los regímenes de
pruebas de sonido producen hallazgos que deben utilizarse para identificar las lagunas frente a
los objetivos de resiliencia establecidos y proporcionar aportes creíbles y significativos a la gestión
de los riesgos cibernéticos de la FMI. El capítulo sobre pruebas brinda orientación sobre las áreas
que deberían incluirse en un programa de pruebas de FMI y sobre cómo los resultados de las
pruebas pueden usarse para mejorar su marco de resiliencia cibernética.
Conciencia Situacional. La fuerte conciencia de la situación puede mejorar significativamente la
capacidad de una FMI para comprender y adelantarse a los eventos cibernéticos, y para detectar,
responder y recuperarse de manera efectiva de los ciberataques que no se previenen.
Específicamente, una sólida comprensión del panorama de amenazas puede ayudar a una FMI a
identificar y comprender mejor las vulnerabilidades en sus funciones comerciales críticas, y facilitar
la adopción de estrategias de mitigación de riesgos apropiadas. El capítulo sobre conciencia
situacional brinda orientación sobre cómo una FMI podría monitorear proactivamente el panorama
de amenazas cibernéticas, y adquirir y hacer un uso efectivo de inteligencia de amenazas
procesables para validar sus evaluaciones de riesgos, dirección estratégica, asignación de
recursos, procesos, procedimientos y controles con respecto a la construcción resiliencia
cibernética. Este capítulo también subraya la importancia de una participación activa de las FMI
en los acuerdos de intercambio de información y colaboración con partes interesadas de confianza
dentro y fuera de la industria para mejorar la resiliencia de la FMI y su ecosistema.
Aprendiendo y evolucionando. El último capítulo enfatiza la importancia de implementar un
marco adaptativo de ciberresiliencia que evolucione con la naturaleza dinámica de los riesgos
cibernéticos para permitir una gestión efectiva de esos riesgos. Las FMI deben tener como objetivo
inculcar una cultura de concientización sobre el riesgo cibernético y demostrar la reevaluación en
curso y la mejora de su postura de ciberresiliencia en todos los niveles dentro de la organización.
Aplicación de la guía. Al implementar la Guía, se espera que las FMI usen un enfoque basado
en el riesgo. Se reconoce que las FMI necesitarán implementar la Guía de acuerdo con las leyes
y regulaciones aplicables. Junto con las diferencias institucionales, estas pueden determinar cómo
se adopta la orientación para lograr los resultados previstos.
1. INTRODUCCION
1.1. Propósito de la guía
1.1.1 Propósito. El objetivo de este documento es proporcionar una guía para que las FMI mejoren
su ciberresiliencia, y asi limitar los riesgos que las amenazas cibernéticas plantean para la
estabilidad financiera. En el contexto de esta guía, la "ciberresiliencia" es la capacidad de una FMI
para anticipar, resistir, contener y recuperarse rápidamente de un ciberataque.
Las FMI, que facilitan la compensación, liquidación y registro de transacciones monetarias y otras
transacciones financieras, desempeñan un papel fundamental en el fomento de la estabilidad
financiera. Si bien las FMI seguras y eficientes contribuyen a mantener y promover la estabilidad
financiera y el crecimiento económico, las FMI también pueden concentrar el riesgo. Si no se
gestionan adecuadamente, las FMI pueden ser fuente de perturbaciones financieras, como
dislocaciones de liquidez y pérdidas crediticias, o un canal importante a través del cual estos
shocks se transmiten a los mercados financieros nacionales e internacionales.
Principio 2: Gobernanza: una FMI debe tener acuerdos de gobernanza claros y transparentes,
promover la seguridad y la eficiencia de la FMI y respaldar la estabilidad del sistema financiero en
general, otras consideraciones relevantes de interés público y los objetivos de las partes
interesadas relevantes.
Principio 3: Marco para la gestión integral de riesgos: una FMI debe tener un sólido marco de
gestión de riesgos para la gestión integral de riesgos legales, crediticios, de liquidez, operacionales
y de otro tipo.
Principio 8: Finalidad de la liquidación: una FMI debe proporcionar una liquidación final clara y
cierta, como mínimo al final de la fecha de valor. Cuando sea necesario o preferible, una FMI debe
proporcionar una liquidación final intradía o en tiempo real.
Principio 17: Riesgo operacional: una FMI debe identificar las fuentes plausibles de riesgo
operativo, tanto internas como externas, y mitigar su impacto mediante el uso de sistemas,
políticas, procedimientos y controles apropiados. Los sistemas deben diseñarse para garantizar
un alto grado de seguridad y fiabilidad operativa y deben tener una capacidad adecuada y
escalable. La gestión de la continuidad del negocio debe tener como objetivo la recuperación
oportuna de las operaciones y el cumplimiento de las obligaciones de la FMI, incluso en el caso
de una interrupción a gran escala o mayor.
Principio 20: enlaces FMI: una FMI que establece un enlace con una o más FMI debe identificar,
controlar y gestionar los riesgos relacionados con los enlaces.
1.1.5 Finalidad de liquidación y reanudación de operaciones críticas. Este reporte está
informado, en particular, por dos elementos importantes incluidos en el PFMI relacionados con la
importancia sistémica de las FMI: (i) la importancia de asegurar la liquidación cuando se deben
pagar las obligaciones y la finalidad de esas transacciones; y (ii) la capacidad de una FMI para
reanudar las operaciones dentro de las dos horas siguientes a una interrupción.
a. El Principio 8 sobre la firmeza de liquidación establece: "Una FMI debe proporcionar una
liquidación final clara y cierta, como mínimo al final de la fecha de valor. Cuando sea necesario o
preferible, una FMI debe proporcionar una liquidación final intradía o en tiempo real " Esto tiene
como finalidad mantener la estabilidad del sistema financiero. Los riesgos crediticios, de liquidez,
de mercado y legales se asignan entre las partes en los pagos y las transacciones de valores por
lo tal la certeza de la suposición de que las transacciones que se consideran definitivas
permanecerán como tales.
PARTE YANELY
6. Respuesta y recuperación -Deben limitar el impacto de cualquier
6.1 Preámbulo incidente cibernético.
La estabilidad financiera depende de la -Reanudar dentro de dos horas, completar la
capacidad que tiene la FMI2 para responder y liquidación al final del día y preservar la
recuperarse rápida y seguramente de los integridad de la transacción.
riesgos sistémicos, en este caso ciberataques.
6.3.2 Integridad de datos.-
6.2 Respuesta a incidentes, reanudación y
- La FMI debe diseñar y probar sus sistemas de
recuperación – Tras un ataque cibernetico
6.2.1 Planificación de respuesta de incidentes: modo que se permita la recuperación de
-Investigar la naturaleza del ataque, el alcance datos precisos después del ataque.
y el daño infligido. -La ciberresistencia implica tener una copia de
-Evitar daños mayores. todos los datos recibidos y procesados.
-Comenzar esfuerzos de recuperación.
6.4 Interconexiones
6.2.2. Reanudación dentro de las dos horas: 6.4.1 Acuerdos de intercambio de datos.-
-De acuerdo a la Consideracion Clave 17.6 de - A veces recuperar los datos implica obtener
la PFMI una FMI debe diseñar y probar sus los datos de terceros, por tanto la FMI debe
sistemas de modo que se dé una reanudación considerar la posibilidad de establecer
segura antes ciberataques de las dos horas. acuerdos de intercambio con terceros.
2 3
Financial Market Infrastructure Es como el entorno de otros FMI con el que
interactúa.
7.3.1 Coordinación.-
6.4.5 Preoaración Forense.- -Las FMI deben tener ejercicios promovidos,
-La FMI tiene la obligación de registrar los diseñados, organizados, etc de modo que
incidentes cibernéticos e implementar los prueben procesos de Respuesta,
controles de protección para futuros procesos Reanudación, Recuperación.
de investigación. -Debe incluir a terceros, proveedores, otros
FMI, autoridades.
7. PRUEBA -La coordinación te permite dejar las pruebas
7.1 Preámbulo aisladas sino incluir escenarios que cubre
-En el marco de resiliencia cibernética se infracciones que afectan a múltiples
deben someter todos sus elementos a porciones del ecosistema del FMI.
rigurosas pruebas para determinar su eficacia
general antes de desplegarlos dentro de una 8.- CONCIENCIA SITUACIONAL
FMI, y regularmente a partir de entonces. 8.1 Preámbulo
- El análisis de los resultados de las pruebas -Implica que la FMI comprenda el entorno de
brinda orientación sobre cómo corregir amenaza cibernética dentro de la cual opera.
debilidades o deficiencias en la postura de -Segundo darse cuenta que en ese entorno
ciberresiliencia y reducir o eliminar las esta su negocio, y que debe tomar ciber
brechas identificadas. medidas para mitigar el riesgo.
- Entonces ¿Dónde se incluyen las pruebas?, -Esta claridad ayuda a adelantarse a los
¿Cómo los resultados de las pruebas mejoran eventos o a responder rápido.
la ciberresistencia de laFMI?
8.2 Inteligencia de Amenaza Cibernética.
7.2 Programa de Prueba Integral 8.2.1 Identificación de amenazas cibernéticas
7.2.1. Programa de prueba.- potenciales.
-Válida de forma regular y frecuente la 8.2.2 Proceso de inteligencia de amenaza, se
efectividad de su marco de ciberresistencia. analiza la información comercial y del sistema
-Simular agentes de amenaza extremos pero para decirnos el contexto del negocio.
plausibles, lo que se encuentre sirve para 8.2.3. Alcance de la recopilación de amenazas,
mejorar la resiliencia cibernética. se debe capturar info de ciberamenazas
relevantes.
7.2.2. Metodología y práctica.- 8.2.4 Uso efectivo de la Información.- se debe
A) Evaluación de Vulnerabilidad (VA) dar la info a personal autorizado y apropiado
B) Pruebas basadas en escenario (hace de modo que mitigue los riesgos a nivel
simulaciones con diversos agentes) estratégico.
C) Pruebas de Penetración (evalúa la
profundidad de la seguridad de los sistemas) 8.3. Intercambio de Información.
D) Pruebas de Equipo Rojo.- Funcionan como 8.3.1 Planificación Anticipada.- dar la info
adversarios dentro de un entorno controlado. para que los otros que puedan, ayuden a
Por ejm: un equipo rojo formado por los mitigar el riesgo,
propios empleados de FMI y/o expertos 8.3.2. Grupos de Intercambio de Información.-
externos. - Se debe compartir info bilateral y
multilateralmente.
7.3 Coordinación
- Esto en el marco de una mayor RESILIENCIA
Cibernética.
9. APRENDIENDO Y EVOLUCIONANDO.
9.1. Preámbulo.-
- El Marco de RESILIENCIA CIBERNÉTICA de
una FMI necesita lograr una
CIBERRESISTENCIA CONTÍNUA (que
evolucione con los riesgos cibernéticos y
pueda identificar y eliminar las amenazas que
traiga esto).
4
Superar el riesgo
Anexo A - Glosario13 frente a un conjunto claro de puntos de
referencia externos.
Inteligencia procesable.- Información sobre
la cual se puede actuar para abordar, prevenir Resistencia cibernética Capacidad de una FMI
o mitigar un ciber amenaza. para anticipar, resistir, contener y recuperarse
rápidamente de un ciberataque
Superficie de Ataque .- La suma de las
características de un sistema de información Marco de referencia de la Resiliencia
en las categorías generales (software, cibernética Consiste en las políticas,
hardware, red, procesos y humanos) que procedimientos y controles que una FMI ha
permite atacante para sondear, ingresar, establecido para identificar, proteger,
atacar o mantener una presencia en el detectar, responder y recuperarse de las
sistema y potencialmente causar daño a una fuentes plausibles de los riesgos cibernéticos
FMI. que enfrenta.