TEXTO #1: Principios para una eficaz agregación de datos sobre riesgos

y presentación de informes de riesgos

PARTE AYRTON
Introducción
Una de las principales lecciones de la crisis financiera mundial iniciada en 2007 fue que la
inadecuación de las tecnologías de la información (TI) y las arquitecturas de datos de los bancos
impidió realizar una gestión integral de los riesgos financieros. Muchos bancos fueron incapaces
de agregar sus exposiciones al riesgo e identificar con prontitud y precisión sus concentraciones
a nivel de grupo bancario, así como entre líneas de negocio y entre personas jurídicas. En algunos
bancos, la incapacidad para gestionar adecuadamente los riesgos respondía a carencias en la
agregación de datos sobre riesgos y en las prácticas de presentación de los correspondientes
informes.
Ante dicha situación, el Comité de Basilea publicó orientaciones complementarias al Segundo Pilar
(proceso de examen supervisor) con el fin de mejorar la capacidad de cada banco para identificar
y gestionar riesgos para todo el grupo. En particular, insistió en que un sistema eficaz de gestión
de riesgos debía disponer de sistemas de información para la gestión para cada línea de negocio
y para el banco en su conjunto.

En el caso de los bancos de importancia sistémica mundial (G-SIB) en concreto, es esencial que
las autoridades de resolución tengan acceso a datos agregados sobre riesgos que satisfagan la
norma expuesta en el documento Key Attributes of Effective Resolution Regimes for Financial
Institutions del FSB1, así como los principios que se establecen a continuación. Ante una
recuperación, un marco de datos robusto ayudará a bancos y supervisores a anticipar problemas
futuros. También mejorará las perspectivas de encontrar opciones alternativas para restaurar la
solvencia financiera y la viabilidad cuando la entidad atraviese por tensiones graves.

Las ventajas de reforzar las capacidades de agregación de datos sobre riesgos se interpretan en
términos de reforzar la capacidad y el estatuto de la función de riesgos para emitir opiniones. Esto
conduce a ganancias en eficiencia, reduciendo la probabilidad de pérdidas, potenciando la toma
de decisiones estratégicas y, en suma, aumentando la rentabilidad.
Además, al desvanecerse con el tiempo el recuerdo de la crisis, existe el riesgo de que el refuerzo
de las capacidades de los bancos en estas áreas se relegue a un segundo plano, siendo así que
los sistemas de TI, la gestión de datos y los procesos de presentación de informes requieren unas
inversiones significativas en recursos financieros y humanos cuyos beneficios solo se
materializarán en el largo plazo.

El Consejo de Estabilidad Financiera (FSB) ha puesto en marcha varias iniciativas internacionales

para asegurar un progreso continuo en el refuerzo de las capacidades de agregación de datos
sobre riesgos y de las prácticas de presentación de informes de riesgos por las entidades, lo cual
es esencial para apoyar la estabilidad financiera. A saber: La elaboración de los Principios para
una eficaz agregación de datos sobre riesgos y presentación de informes de riesgos incluidos en
este informe, el desarrollo de una nueva plantilla de datos común para instituciones financieras
sistémicamente importantes (G-SIFI) dirigida a cubrir lagunas de información clave identificadas
durante la crisis, tales como exposiciones bilaterales y por país, sector e instrumento. Esto debería
proporcionar a las autoridades un marco más sólido para la evaluación de posibles riesgos

1
Consejo de Estabilidad Financiera
sistémicos. Y por último, Una iniciativa conjunta público-privada para desarrollar un sistema de
Identificación de Entidad Jurídica (LEI) que identificará de forma exclusiva a las contrapartes de
operaciones financieras en todo el mundo, y concebido como un elemento clave para mejorar la
calidad de los datos financieros en todo el mundo.

DEFINICIÓN

«Agregación de datos sobre riesgos» se entiende como definir, recopilar y procesar datos de riesgos con
arreglo a requisitos de presentación de informes de riesgos del banco que le permitan calibrar su
desempeño en función de su apetito por el riesgo o grado de tolerancia al riesgo7. Esto incluye reordenar,
fusionar o descomponer conjuntos de datos.
A continuación se presentan un conjunto de principios cuyo propósito es reforzar las capacidades de
agregación de datos sobre riesgos de los bancos y sus prácticas internas de presentación de informes de
riesgos (los «Principios»). A su vez, la aplicación eficaz de estos Principios mejorará previsiblemente los
procesos de gestión de riesgos y de toma de decisiones en los bancos.

Para los supervisores bancarios, estos Principios complementarán otras medidas dirigidas a mejorar la
intensidad y eficacia de la supervisión bancaria. Para las autoridades de resolución, la mejor agregación de
datos de riesgos facilitaría las resoluciones bancarias, reduciendo de ese modo el potencial recurso a los
contribuyentes.

Los Principios abarcan cuatro ámbitos estrechamente relacionados:

• Gobernanza e infraestructura en general
• Capacidades de agregación de datos sobre riesgos
• Prácticas de presentación de informes de riesgos
• Examen, instrumentos y cooperación en materia de supervisión

El concepto de «sustancialidad» empleado en este documento significa que los datos e informes pueden
excepcionalmente excluir información cuando ello no afecte al proceso de toma de decisiones del banco
(es decir, que sus órganos de gobierno, en particular el consejo de administración y la alta dirección, no se
hubieran visto influidos por la información omitida ni hubieran emitido un juicio distinto de haber dispuesto
de la información correcta).
Al aplicar el concepto de sustancialidad, los bancos tendrán en cuenta consideraciones más allá del número
o tamaño de las exposiciones no incluidas, tales como el tipo de riesgos implicados o la naturaleza
cambiante y dinámica del negocio bancario.

I. Gobernanza e infraestructura en general

El banco deberá contar con un marco de gobernanza, una arquitectura de datos de riesgos y una
infraestructura de TI robustos, que son una condición previa para asegurar el cumplimiento de los otros
Principios reflejados en este documento. En particular, el consejo de administración del banco debe
comprobar que la alta dirección asume sus competencias en la aplicación de todos los principios de
agregación de datos de riesgos y de presentación de los informes correspondientes, y que se responsabiliza
de la estrategia para alcanzarlos dentro del plazo acordado con sus supervisores.

Principio 1
Gobernanza – Las capacidades del banco de agregación de datos sobre riesgos y sus prácticas de
presentación de informes de riesgos se regirán por disposiciones de gobierno sólidas y coherentes con
otros principios y directrices establecidos por el Comité de Basilea.

Principio 2
Arquitectura de datos e infraestructura de TI – El banco diseñará, construirá y mantendrá una arquitectura
de datos y una infraestructura de TI que soporten plenamente sus capacidades de agregar datos sobre
riesgos y sus prácticas de presentación de informes de riesgos, tanto en situaciones normales como de
tensión o crisis, sin perjuicio del cumplimiento de los demás Principios.

II. Capacidades de agregación de datos sobre riesgos

Los bancos deberán desarrollar y mantener robustas capacidades de agregación de datos sobre riesgos
para asegurarse de que los informes de gestión de riesgos reflejan estos riesgos de modo fiable (es decir,
es necesario cumplir las expectativas de agregación de datos para satisfacer las de presentación de
información). El cumplimiento de los Principios que siguen a continuación no debería hacerse unos a
expensas de otros, es decir, estas capacidades de agregación de datos sobre riesgos deberán cumplir
simultáneamente todos estos Principios conforme al párrafo 22 del presente documento.
Principio 3
Exactitud e integridad – El banco deberá ser capaz de generar datos exactos y fiables sobre riesgos para
cumplir los requisitos de exactitud en la presentación de información tanto en situaciones normales como
de tensión o crisis. Los datos deberán agregarse principalmente de forma automatizada para minimizar la
probabilidad de errores.
Principio 4
Completitud – El banco deberá poder identificar y agregar todos los datos de riesgos significativos en todo
el grupo bancario. Dichos datos deberán estar disponibles por línea de negocio, persona jurídica, tipo de
activo, sector, región y otros criterios de ordenación, en función del riesgo de que se trate, de forma que
permitan identificar e informar de exposiciones al riesgo, concentraciones de riesgos y riesgos incipientes.
Principio 5
Prontitud – El banco deberá poder generar información agregada y actualizada de riesgos con prontitud
sin perjuicio del cumplimiento de los principios relativos a exactitud e integridad, completitud y adaptabilidad.
La prontitud dependerá de la naturaleza del riesgo objeto de medición y su potencial volatilidad, así como
de su importancia para el perfil general de riesgo del banco. Dicha prontitud dependerá también de la
frecuencia específica requerida por los informes de gestión de riesgos del banco, tanto en situaciones
normales como de tensión o crisis, establecida en función de las características y del perfil general de riesgo
del banco.
Principio 6
Adaptabilidad – El banco debe ser capaz de generar datos agregados de riesgos para satisfacer una amplia
gama de peticiones específicas y discrecionales de información de gestión de riesgos, tales como las
efectuadas en momentos de tensión o crisis, las debidas a cambios en las necesidades internas y aquellas
cursadas por supervisores.

PARTE EDUARDO

Principio 6 – Adaptabilidad: El banco debe poder generar datos agregados de riesgos cuando
se lo soliciten (en momentos de tensión/crisis, cuando cambian las necesidades internas de la
empresa o cuando lo considere el supervisor), de modo que se pueda gestionar los riesgos.
 Tener adaptabilidad ayuda a los bancos a gestionar mejor el riesgo y facilita el uso de las
pruebas de stress y análisis de escenarios. Tener adaptabilidad es tener procesos
flexibles (agiliza la agregación y toma de decisiones), capacidad de personalizar los datos
en función de las necesidades de los usuarios e incluir nuevos factores (externos o
regulatorios) que afectan el perfil de riesgo del banco.
 Los supervisores esperan que bancos puedan agregar información debido a cambios en
sucesos económicos o incluso para que puedan realizar escenarios.
III. Prácticas de Presentación de informes de riesgos
Para gestionar adecuadamente el riesgo se necesita que los datos tengan la calidad necesaria
(exacta, clara y completa) y que la información se presente por las personas idóneas en la toma
de decisiones con tiempo suficiente para dar una respuesta adecuada. De esta manera, los
informes de riesgos, para cumplir sus objetivos, deberían cumplir los siguientes principios:
Principio 7 – Exactitud: Informes de riesgo deben transmitir de forma exacta y precisa los datos
agregados de riesgos y reflejar el riesgo adecuadamente. Estos informes deben ser validados.
  La exactitud y precisión debe ser tal que el consejo de administración y alta dirección
confíen en la información agregada para tomar decisiones en materia de riesgos. Para
tener exactitud se debe tener procesos definidos para coordinar los informes con los
datos, tener un número razonable de reglas de validación y procedimientos definidos
para identificar, notificar y explicar los errores o deficiencia de integridad.
 Las aproximaciones (modelos, análisis de escenarios, pruebas de estrés) son parte
integral de los informes de riesgo, es por ello que deben ser creíbles.
 Los supervisores esperan que la alta dirección indique y justifique requisitos para que los
datos sean exactos y precisos tal como en la contabilidad.
Principio 8 – Exhaustividad: Informes de riesgo deben cubrir las áreas de riesgo significativas
y su alcance y profundidad debe estar relacionado a la complejidad de las actividades del
banco, su perfil de riesgo y necesidades con destinatarios
 Los informes de riesgo deben incluir medidas relacionadas con riesgos (capital
económico y regulatorio), mostrar estado de medidas acordadas y dar recomendacioes.
 Los supervisores esperan que bancos determinen requisitos para presentar los informes
de riesgo según su perfil de riesgo y modelo de negocio. Los informes dirigidos al consejo
de administración y alta dirección deben tener evaluaciones prospectivas del riesgo.
Principio 9 - Claridad y utilidad: Informes de gestión de riesgo deben ser concisos y fáciles de
entender sin dejar de ser exhaustivos. Asimismo incluyen información según el usuario.
 Los informes de gestión de riesgo deben ayudar a la gestión y toma de decisiones, lograr
un equilibrio entre datos (en niveles superiores de organización suelen estar más
agregados por lo que se usa más información cualitativa) y estar enmarcados en las
políticas y procedimientos de presentación.
 El consejo de administración debe alertar a la alta dirección cuando los informes no
cumplan con los requisitos o no proporcionen la información necesaria.
 Los supervisores esperan que los informes reflejen un equilibrio entre datos (cualitativos
y cuantitativos), explicaciones y recomendaciones. Asimismo, se espera que el banco
confirme periódicamente la calidad y cantidad de la data para la toma de decisiones.
Principio 10 – Frecuencia: El consejo de administración y alta dirección deben establecer la
frecuencia para la presentación de informes de gestión de riesgo en función a sus necesidades
y riesgos. Los informes deben aumentar en momentos de tensión o crisis.
 La frecuencia de los informes varía en según el tipo de riesgo, propósito y destinatarios.
El Banco debe comprobar que se generen en los plazos marcados, especialmente en
momentos de tensión.
 Los supervisores esperan que en momentos de tensión o crisis, los informes se generen
en un plazo corto para reaccionar eficazmente ante los cambios.
Principio 11 – Distribución: Los informes de gestión de riesgos deben llegar a las partes
pertinentes manteniendo la debida confidencialidad
 Deben existir procedimientos para recopilar y analizar rápidamente los datos, con el
objetivo de remitir la información en un tiempo oportuno.
 Los supervisores esperan que el banco confirme periódicamente que se reciben los
informes en tiempo oportuno por sus destinatarios relevantes.
IV. Examen, instrumentos y cooperación en materia de supervisión
Supervisores incentivarán y vigilarán que se cumplan e implementen los principios en el banco,
de modo que los bancos alcancen los resultados deseados.
Principio 12 – Examen: Supervisores examinarán y evaluarán que se cumplan los 11 principios
anteriores en los bancos
  Las revisiones hechas por los supervisores se incorporarán al plan ordinario. Los
supervisores comprobarán el cumplimiento de los principios solicitando información
puntual que debe atenderse en plazos breves. Asimismo, los supervisores podrán
acceder a exámenes realizados por auditores o expertos independientes.
 Los supervisores deberán poner a prueba las capacidades de los bancos para agregar
información de datos y generar informes incluso en momentos de tensión o crisis.
Principio 13 - Acciones correctivas y medidas de supervisión: Supervisores deben contar con
instrumentos adecuados (ejm: Los del segundo pilar Basilea II) para exigir que el banco corrija
sus deficiencias en agregación de datos o prácticas en la presentación de informes de riesgo.
 Supervisores deben exigir que las medidas para corregir lo mencionado sean eficaces.
Pueden requerir que el banco adopte medidas correctivas, aumentar la supervisión,
requerir un examen por un tercero o uso de capital adicional (Basilea II).
 Los supervisores deben poder establecer límites a los riesgos del banco o a su
crecimiento en ciertas actividades cuando se crea que se pueden ver comprometidas
negativamente la capacidad para agregar datos de riesgos y de presentar informes.
 Las exigencias de los supervisores se deben adoptar según plazo y exigencia señalada.
Principio 14 – Cooperación origen/acogida: Supervisores deben colaborar con sus homólogos
en otras jurisdicciones para supervisar y revisar los principio y su aplicación
 Una colaboración eficaz mejora las prácticas de gestión de riesgos y se evitarán
exámenes redundantes. Esta colaboración (vía teleconferencia, correo electrónico o
colegios) debe estar dentro de los límites legales y debe darse periódicamente.
 Los supervisores deben contrastar experiencias sobre la agregación de datos de riesgo
y prácticas de presentación de informes en diferentes partes de un grupo, así los
supervisores responderán rápidamente.
V. Calendario de aplicación y disposiciones transitorias
Los supervisores esperan que las infraestructuras de datos y de TI de bancos aseguren la
capacidad de agregación de datos de riesgos y sus prácticas de presentación de informes de
riesgos. Para asegurar que se cumplan los principios (el plazo era al 2016), los supervisores
discutirán las capacidades de agregación de datos, se autoevaluarán y podrán contratar a
expertos. Desde 2013, el Comité de Basilea vigilará el progreso en el cumplimiento de los
Principios. El Comité de Basilea compartirá sus conclusiones de G-SIB (bancos de importancia
mundial) con el FSB (Consejo de estabilidad financiera) con una periodicidad mínima anual.
 TEXTO #2: GUIDANCE ON CYBER
Resumen Ejecutivo
Background. La operación segura y eficiente de las infraestructuras de los mercados financieros
(FMI) es esencial para mantener y promover la estabilidad financiera y el crecimiento económico.
En este contexto, el nivel de resiliencia cibernética, que contribuye a la resiliencia operacional de
una FMI, puede ser un factor decisivo en la resiliencia general del sistema financiero y la economía
en general.
Propósito. El propósito de este documento (Orientación) es proporcionar una guía para que las
FMI mejoren su ciberresiliencia. Específicamente, este documento proporciona orientación
complementaria a los Principios de CPMI-IOSCO para las Infraestructuras del Mercado Financiero
(PFMI), principalmente en el contexto de la gobernanza (Principio 2), el marco para la gestión
integral de riesgos (Principio 3), la firmeza de liquidación (Principio 8 ), riesgo operacional (Principio
17) y enlaces FMI (Principio 20).
Contorno. La Orientación se presenta en capítulos que describen cinco categorías principales de
gestión de riesgos y tres componentes generales que deberían abordarse en un marco de
resiliencia cibernética de FMI. Las categorías de gestión de riesgos son: gobierno; identificación;
protección; detección; y respuesta y recuperación. Los componentes principales son: pruebas;
conciencia situacional; y aprendiendo y evolucionando.
Amplia relevancia. Si bien la orientación se dirige directamente a las FMI, es importante que las
FMI asuman un papel activo en la divulgación a sus participantes y otras partes interesadas
relevantes para promover la comprensión y el apoyo de los objetivos de resiliencia y su
implementación.
Colaboración. Las soluciones efectivas pueden necesitar la colaboración entre las FMI y sus
partes interesadas a medida que buscan fortalecer su propia ciberresiliencia. El resultado de dicha
colaboración debe considerarse en su planificación estratégica individual y colectiva. Debido a que
la ciberresistencia de las FMI respalda objetivos de estabilidad financiera más amplios ya la luz de
las importantes interdependencias en los procesos de compensación y liquidación.
Gobernancia. En consonancia con la gestión eficaz de otras formas de riesgo que enfrenta una
FMI, la buena gestión de gobierno es clave. La gobernanza cibernética se refiere a los arreglos
que una FMI ha establecido para establecer, implementar y revisar su enfoque para la gestión de
riesgos cibernéticos. La gobernanza efectiva debe comenzar con un marco de resiliencia
cibernética claro y completo que otorgue alta prioridad a la seguridad y eficiencia de las
operaciones de la FMI al tiempo que respalda objetivos más amplios de estabilidad financiera. El
marco debe guiarse por una estrategia de resiliencia cibernética, definir cómo se determinan los
objetivos de resiliencia cibernética de la FMI y describir sus personas (funciones), procesos y
requisitos tecnológicos para la gestión de riesgos cibernéticos.
Identificación. En este punto se describe cómo una FMI debe identificar y clasificar los procesos
de negocio, los activos de información, el acceso al sistema y las dependencias externas. Esto
ayuda a la FMI a comprender mejor su situación interna, los riesgos cibernéticos que conlleva y
representa para las entidades de su ecosistema, y cómo puede coordinarse con las partes
interesadas relevantes al diseñar e implementar sus esfuerzos de resiliencia cibernética para asi
tratar de evitar impactos enemigos.
Protección. La resiliencia cibernética depende de controles de seguridad efectivos que protegen
la confidencialidad, la integridad y la disponibilidad de sus activos y servicios. El capítulo sobre
protección insta a las FMI a implementar controles y sistemas de diseño y procesos adecuados y
efectivos en línea con las principales prácticas de ciberresiliencia y seguridad de la información
para prevenir, limitar y contener el impacto de un ciberacoso potencial.
Detección. La capacidad de una FMI para detectar la ocurrencia de anomalías y eventos que
indiquen un posible incidente cibernético es esencial para una fuerte ciberresiliencia. La detección
temprana proporciona a la FMI un tiempo útil para organizar contramedidas apropiadas contra una
posible infracción y permite la contención proactiva de brechas reales. Dada la naturaleza sigilosa
y sofisticada de los ciberataques y los múltiples puntos de entrada a través de los cuales se puede
llegar a un compromiso, se necesitan capacidades avanzadas para monitorear de manera
exhaustiva las actividades anómalas. El capítulo sobre detección describe las herramientas de
supervisión y proceso que utilizará una FMI para la detección de incidentes cibernéticos.
Reanudación dentro de las dos horas (es decir, dos horas RTO o 2hRTO). La estabilidad
financiera puede depender de la capacidad de una FMI para liquidar sus obligaciones a su
vencimiento, como mínimo al final de la fecha de valor. Una FMI debe diseñar y probar sus
sistemas y procesos para permitir la reanudación segura de operaciones críticas dentro de las dos
horas de una interrupción y para poder completar la liquidación al final del día de la interrupción,
incluso en el caso de escenarios extremos pero plausibles. A pesar de esta capacidad para
reanudar operaciones críticas en dos horas, cuando se trata de una interrupción, las FMI deben
ejercer su juicio para reanudarlas, de modo que los riesgos para sí mismo o su ecosistema no
escalen, teniendo en cuenta que la finalización de la liquidación al final del día es crucial. Las FMI
también deben planificar escenarios en los que no se logre el objetivo de reanudación. Aunque las
autoridades reconocen los desafíos que enfrentan las FMI para lograr los objetivos de
ciberresiliencia, también se reconoce que las prácticas y tecnologías actuales y emergentes
pueden servir como opciones viables para alcanzar esos objetivos. Además, la razón para
establecer este objetivo de reanudación se mantiene independientemente del desafío para
lograrlo. El capítulo sobre respuesta y recuperación brinda orientación sobre cómo debe responder
una FMI para contener, reanudar y recuperarse de los ciberataques exitosos.
Pruebas. Una vez empleados en una FMI, los elementos de su marco de resiliencia cibernética
deben ser rigurosamente probados para determinar su efectividad general. Los regímenes de
pruebas de sonido producen hallazgos que deben utilizarse para identificar las lagunas frente a
los objetivos de resiliencia establecidos y proporcionar aportes creíbles y significativos a la gestión
de los riesgos cibernéticos de la FMI. El capítulo sobre pruebas brinda orientación sobre las áreas
que deberían incluirse en un programa de pruebas de FMI y sobre cómo los resultados de las
pruebas pueden usarse para mejorar su marco de resiliencia cibernética.
Conciencia Situacional. La fuerte conciencia de la situación puede mejorar significativamente la
capacidad de una FMI para comprender y adelantarse a los eventos cibernéticos, y para detectar,
responder y recuperarse de manera efectiva de los ciberataques que no se previenen.
Específicamente, una sólida comprensión del panorama de amenazas puede ayudar a una FMI a
identificar y comprender mejor las vulnerabilidades en sus funciones comerciales críticas, y facilitar
la adopción de estrategias de mitigación de riesgos apropiadas. El capítulo sobre conciencia
situacional brinda orientación sobre cómo una FMI podría monitorear proactivamente el panorama
de amenazas cibernéticas, y adquirir y hacer un uso efectivo de inteligencia de amenazas
procesables para validar sus evaluaciones de riesgos, dirección estratégica, asignación de
recursos, procesos, procedimientos y controles con respecto a la construcción resiliencia
cibernética. Este capítulo también subraya la importancia de una participación activa de las FMI
en los acuerdos de intercambio de información y colaboración con partes interesadas de confianza
dentro y fuera de la industria para mejorar la resiliencia de la FMI y su ecosistema.
Aprendiendo y evolucionando. El último capítulo enfatiza la importancia de implementar un
marco adaptativo de ciberresiliencia que evolucione con la naturaleza dinámica de los riesgos
cibernéticos para permitir una gestión efectiva de esos riesgos. Las FMI deben tener como objetivo
inculcar una cultura de concientización sobre el riesgo cibernético y demostrar la reevaluación en
curso y la mejora de su postura de ciberresiliencia en todos los niveles dentro de la organización.
Aplicación de la guía. Al implementar la Guía, se espera que las FMI usen un enfoque basado
en el riesgo. Se reconoce que las FMI necesitarán implementar la Guía de acuerdo con las leyes
y regulaciones aplicables. Junto con las diferencias institucionales, estas pueden determinar cómo
se adopta la orientación para lograr los resultados previstos.

1. INTRODUCCION
1.1. Propósito de la guía
1.1.1 Propósito. El objetivo de este documento es proporcionar una guía para que las FMI mejoren
su ciberresiliencia, y asi limitar los riesgos que las amenazas cibernéticas plantean para la
estabilidad financiera. En el contexto de esta guía, la "ciberresiliencia" es la capacidad de una FMI
para anticipar, resistir, contener y recuperarse rápidamente de un ciberataque.
Las FMI, que facilitan la compensación, liquidación y registro de transacciones monetarias y otras
transacciones financieras, desempeñan un papel fundamental en el fomento de la estabilidad
financiera. Si bien las FMI seguras y eficientes contribuyen a mantener y promover la estabilidad
financiera y el crecimiento económico, las FMI también pueden concentrar el riesgo. Si no se
gestionan adecuadamente, las FMI pueden ser fuente de perturbaciones financieras, como
dislocaciones de liquidez y pérdidas crediticias, o un canal importante a través del cual estos
shocks se transmiten a los mercados financieros nacionales e internacionales.

1.1.2 Riesgos cibernéticos en el PFMI. En abril de 2012, el Comité de Sistemas de Pago y

Liquidación (CPSS (ahora CPMI)) y el Comité Técnico de la Organización Internacional de
Comisiones de Valores (IOSCO) publicaron los Principios para las Infraestructuras del Mercado
Financiero (PFMI). El PFMI reconoce el riesgo operacional, incluido el riesgo cibernético, como un
riesgo clave específico que enfrentan las FMI, y declara que una FMI debe tener disposiciones y
objetivos de gobernanza para gestionar estos riesgos dentro de un marco integral de gestión de
riesgos. La gestión de los riesgos cibernéticos está incluida en las expectativas delineadas en el
Principio 17 y sus principales consideraciones de apoyo.
1.1.3 Los riesgos cibernéticos son únicos. Si bien los riesgos cibernéticos deben gestionarse
como parte del marco general de gestión del riesgo operacional de una FMI, algunas
características únicas del riesgo cibernético presentan desafíos para los marcos de gestión de
riesgos operacionales tradicionales de las FMI:
  En primer lugar, una característica distintiva de los ciberataques sofisticados es la
naturaleza persistente de una campaña llevada a cabo por un atacante motivado. La
presencia de un adversario activo, persistente ya veces sofisticado en los ciberataques
significa que, a diferencia de la mayoría de las otras fuentes de riesgo, los ciberataques
maliciosos a menudo son difíciles de identificar o erradicar por completo y la amplitud del
daño es difícil de determinar.
 En segundo lugar, existe una amplia gama de puntos de entrada a través de los cuales
una FMI podría verse comprometida. Como resultado de su interconexión, los
ciberataques podrían venir a través de los participantes de FMI, FMI vinculadas,
proveedores de servicios, proveedores y productos de proveedores. Las FMI podrían
convertirse ellas mismas en un canal para propagar aún más los ciberataques, por
ejemplo, mediante la distribución de malware a las entidades interconectadas.
 En tercer lugar, ciertos ciberataques pueden hacer que algunos acuerdos de gestión de
riesgos y continuidad del negocio sean ineficaces. Por ejemplo, el sistema automatizado
y los arreglos de replicación de datos que están diseñados para ayudar a preservar los
datos confidenciales y el software en caso de un evento perturbador físico podrían, en
algunos casos, alimentar la propagación de malware y datos corruptos a los sistemas de
respaldo.
 En cuarto lugar, los ciberataques pueden ser sigilosos y propagarse rápidamente dentro
de una red de sistemas. Por ejemplo, pueden explotar vulnerabilidades desconocidas y
enlaces débiles en sistemas y protocolos para causar interrupciones y/o infiltrarse en la
red interna de una FMI. El malware diseñado para aprovechar tales vulnerabilidades
latentes puede eludir los controles.
1.1.4 Los principios más relevantes del PFMI. Este documento está destinado a proporcionar
orientación complementaria a la PFMI con respecto a la ciberresistencia, principalmente en el
contexto de los principios enumerados en el recuadro 1.
Principios clave de PFMI que informan la orientación

Principio 2: Gobernanza: una FMI debe tener acuerdos de gobernanza claros y transparentes,
promover la seguridad y la eficiencia de la FMI y respaldar la estabilidad del sistema financiero en
general, otras consideraciones relevantes de interés público y los objetivos de las partes
interesadas relevantes.
Principio 3: Marco para la gestión integral de riesgos: una FMI debe tener un sólido marco de
gestión de riesgos para la gestión integral de riesgos legales, crediticios, de liquidez, operacionales
y de otro tipo.
Principio 8: Finalidad de la liquidación: una FMI debe proporcionar una liquidación final clara y
cierta, como mínimo al final de la fecha de valor. Cuando sea necesario o preferible, una FMI debe
proporcionar una liquidación final intradía o en tiempo real.
Principio 17: Riesgo operacional: una FMI debe identificar las fuentes plausibles de riesgo
operativo, tanto internas como externas, y mitigar su impacto mediante el uso de sistemas,
políticas, procedimientos y controles apropiados. Los sistemas deben diseñarse para garantizar
un alto grado de seguridad y fiabilidad operativa y deben tener una capacidad adecuada y
escalable. La gestión de la continuidad del negocio debe tener como objetivo la recuperación
oportuna de las operaciones y el cumplimiento de las obligaciones de la FMI, incluso en el caso
de una interrupción a gran escala o mayor.
Principio 20: enlaces FMI: una FMI que establece un enlace con una o más FMI debe identificar,
controlar y gestionar los riesgos relacionados con los enlaces.
1.1.5 Finalidad de liquidación y reanudación de operaciones críticas. Este reporte está
informado, en particular, por dos elementos importantes incluidos en el PFMI relacionados con la
importancia sistémica de las FMI: (i) la importancia de asegurar la liquidación cuando se deben
pagar las obligaciones y la finalidad de esas transacciones; y (ii) la capacidad de una FMI para
reanudar las operaciones dentro de las dos horas siguientes a una interrupción.

a. El Principio 8 sobre la firmeza de liquidación establece: "Una FMI debe proporcionar una
liquidación final clara y cierta, como mínimo al final de la fecha de valor. Cuando sea necesario o
preferible, una FMI debe proporcionar una liquidación final intradía o en tiempo real " Esto tiene
como finalidad mantener la estabilidad del sistema financiero. Los riesgos crediticios, de liquidez,
de mercado y legales se asignan entre las partes en los pagos y las transacciones de valores por
lo tal la certeza de la suposición de que las transacciones que se consideran definitivas
permanecerán como tales.

b. Es de gran importancia, la capacidad de una FMI para reanudar operaciones críticas

rápidamente. Específicamente, la Consideración clave 6 del Principio 17 sobre riesgo operativo
establece la expectativa de que el plan de continuidad comercial de una FMI "debe diseñarse para
garantizar que" pueda "reanudar las operaciones dentro de las dos horas siguientes a los eventos
disruptivos y permita a la FMI completar la liquidación al final de el día de la interrupción, incluso
en el caso de circunstancias extremas ".

1.2 Diseño y organización de la Guía

1.2.1 Diseño. Esta Orientación se presenta en
capítulos que describen cinco categorías principales
de gestión de riesgos y tres componentes generales
que deberían abordarse en un marco de resiliencia
cibernética de FMI. Las categorías de gestión de
riesgos son: (i) gobierno; (ii) identificación; (iii)
protección; (iv) detección; y (v) respuesta y
recuperación. Los componentes principales son: (i)
pruebas; (ii) conciencia situacional; y (iii) aprendiendo
y evolucionando.. La Figura 1 a continuación muestra
la relación entre estas categorías de orientación
sobre resiliencia cibernética.
1.2.2 Basado en los principios. La guía se basa en
principios y reconoce que la naturaleza dinámica de
las amenazas cibernéticas requiere la evolución de los métodos para mitigar estas amenazas.
1.2.3 Los controles de TIC deberían estar presentes. Un entorno de control de TIC fuerte es
fundamental y un componente crítico de la ciberresistencia global de una FMI. La Consideración
clave 5 del Principio 17 del PFMI establece que "una FMI debe tener políticas integrales de
seguridad física y de la información que aborden todas las posibles vulnerabilidades y amenazas".
En la práctica, en el contexto de la gestión del riesgo cibernético, las FMI deben mantener controles
robustos de TIC y demostrar consistentemente entornos de control efectivos. Este punto es
particularmente importante ya que muchos ciberataques exitosos se han atribuido a controles de
TIC débiles o inadecuados, incluso los básicos.
 PARTE DIEGO 😊
1.3 Expected Usage (Uso Esperado)
1.3.1 Grupo objetivo: La guía se encuentra dirigida a la infraestructura del mercado financiero
(FMIs), definida en sus principios (PFMI). Además, CSDS, SSSs, CCPS, TRs.
1.3.2 Papel del consejo y la alta dirección. La guía debe ser considerada una importante referencia
para la alta dirección de una FMI, producto de su participación activa son fundamentales para
garantizar la resiliencia (capacidad de soportar, resistencia) cibernética.
1.3.3 Consideraciones de las partes interesadas. Es importante para las FMI promover entre sus
participantes y proveedores de servicios, una comprensión de los objetivos de resiliencia de las
FMI, así requerir acciones apropiadas para apoyar su implementación. Lograr soluciones efectivas
puede requerir que se colaboren con sus grupos de interés. El resultado de dicha colaboración
debe considerarse en su planificación estratégica individual y colectiva. Es importante que las
autoridades reconozcan que dicha cooperación que da coherencia a la supervisión de FMIs, ello
debido a que la resistencia cibernética de las FMI es apoya más ampliamente los objetivos de
estabilidad financiera.
1.3.4 Acciones rápidas y sostenidas para mejorar la resiliencia cibernética. El entorno creciente de
amenaza cibernética hace que sea importante para las FMI aplicar esta Guía inmediatamente.
Dada la sistémica importancia y extensas interconexiones del FMI, así como el potencial de
contagio de riesgo entre FMIs se deben tomar medidas apropiadas, rápidas y sostenidas para
mejorar su resistencia cibernética. No obstante, las FMI pueden estar en diferentes niveles de
resiliencia cibernética la capacidad y la mejora podrían llevar tiempo.
1.3.5 Esfuerzos en curso para mejorar la ciber resiliencia de las FMI. Observar esta guía no es
solo un compromiso. Por el contrario, las FMI deben hacer esfuerzos constantes para adaptarse,
evolucionar y mejorar su ciber resiliencia, y de esta manera aumentar el nivel de dificultad para los
perpetradores y para mejorar las capacidades de las FMI para reanudar con sus operaciones
críticas y recuperarse de ciberataques.
1.3.6 Enfoque basado en el riesgo. Componentes del entorno de Tecnología de la información y
la comunicación (TIC) de una FMI y entidades dentro de su ecosistema no son de igual criticidad
para sus operaciones. Cada componente del entorno de TIC de una FMI puede verse afectado en
diferentes grados por diferentes tipos de riesgos cibernéticos.
1.3.7 Implementación de guía en el contexto del marco legal relevante. La guía es también
pertinente a las autoridades reguladoras y de supervisión a medida que llevan a cabo sus
funciones.
2. Governance (Gobernanza)
2.1 Preámbulo: La gobernanza cibernética se refiere a los arreglos que realiza una FMI para
establecer, implementar y revisar su enfoque para gestionar riesgos cibernéticos. La gobernanza
cibernética efectiva debe comenzar con un claro marco que priorice la seguridad y la eficiencia de
las operaciones y apoye los objetivos de estabilidad financiera. El marco debe guiarse por una
estrategia de resiliencia, definir los objetivos de resiliencia cibernética, los requisitos de procesos
y tecnología para la gestión de los riesgos cibernéticos y la comunicación oportuna, con el fin de
responder de manera efectiva y recuperarse de ataques cibernéticos.
Una buena gobernanza cibernética es esencial para que la FMI implemente un enfoque
sistemático y proactivo a la gestión de las amenazas cibernéticas prevalecientes y emergentes
que enfrenta. El capítulo brinda una guía sobre lo elementos básicos que debe incluir un marco de
ciber resistencia de la FMI y cómo los acuerdos de gobernanza de una FMI deben apoyar ese
marco.
2.2 Marco de Ciber resiliencia
2.2.1 Una FMI debe tener un marco que articule cómo se determina los objetivos de resiliencia
cibernética, la tolerancia al riesgo cibernético, así como también cómo se mitiga y gestiona sus
riesgos cibernéticos para respaldar sus objetivos. El marco de ciber resiliencia de FMI debe
respaldar los objetivos de estabilidad financiera, la eficiencia continua, efectividad y viabilidad
económica de sus servicios para sus usuarios. Por lo tanto, los objetivos marco deberían pretender
mantener y promover la capacidad de la FMI para anticiparse, resistir, contener y recuperarse de
la cibernética ataques, a fin de limitar la probabilidad o el impacto de un ataque cibernético exitoso.
2.2.2 Cyber es más que solo TIC. El marco debería, además, incluir comunicación oportuna para
permitir que la FMI colabore con las partes interesadas relevantes para responder y recuperarse
de manera efectiva ciberataques, ya sea en la FMI o en el sistema financiero integral.
2.2.3 Gestión de riesgos empresariales. Es probable que un marco de resiliencia cibernética de
una FMI comparta elementos comunes con las políticas, procedimientos y controles que ha
establecido para administrar otras áreas de riesgos. Por ejemplo, limitar el acceso físico puede ser
un control clave para abordar el riesgo para la infraestructura de TIC crítica.
2.2.4 Un ecosistema de FMI. Una FMI debería tener una visión integrada y completa del potencial
amenazas cibernéticas que enfrenta. El marco de ciber resistencia de una FMI debe considerar
cómo se revisaría periódicamente y mitigaría activamente los riesgos cibernéticos que conlleva y
plantea a sus participantes (otros FMI, proveedores de productos y servicios).
2.2.5 Estándar internacionales y nacionales. Hay muchas directrices o recomendaciones a nivel
industrial que una FMI podría utilizar como punto de referencia para diseñar su marco de resiliencia
cibernética. Los estándares deben reflejar los mejores enfoques actuales de la industria.
2.2.6 Gobernanza de gestión de riesgos. El marco de resiliencia cibernética de una FMI debe
definir claramente los roles y responsabilidades, incluida la responsabilidad para la toma de
decisiones dentro de la organización para la gestión riesgo cibernético, incluso en emergencias y
en una crisis.
2.2.7 Auditorías y cumplimiento. Los procesos internos de una FMI deberían ayudar a la gerencia
a evaluar, medir la adecuación y efectividad del marco de ciber resistencia de la FMI. La idoneidad
y el cumplimiento del marco de la ciber resiliencia de una FMI debe evaluarse y medirse
regularmente a través de programas de cumplimiento independientes y auditorías llevadas a cabo
por personas calificadas.
2.3 Role of the board and senior management
2.3.1 Responsabilidades de la alta dirección. El consejo de una FMI es el responsable final de
establecer el marco de resiliencia cibernética y garantizar que el riesgo cibernético se gestione de
manera efectiva. La Junta establece la tolerancia para el riesgo cibernético. Debe ser informado
periódicamente. La junta debe considerar cómo los cambios materiales en sus productos,
servicios, políticas o prácticas amenazan al riesgo cibernético. La alta gerencia debe supervisar
de cerca la implementación del marco de resiliencia cibernética.
2.3.2 Cultura. El consejo directivo y la alta dirección deben cultivar un fuerte nivel de conciencia y
compromiso con la ciber resistencia. Para ello, deben promover una cultura en el que todo el
personal de todos los niveles tiene responsabilidades importantes para garantizar la ciber
resistencia.
2.3.3 Habilidades. Para que la alta gerencia tenga una supervisión efectiva de marco cibernético
de resiliencia y el perfil de riesgo cibernético, se debe contener miembros con las habilidades
adecuadas y conocimiento para comprender y gestionar los riesgos.
2.3.4 Responsabilidad. En vista de la creciente dependencia de las FMI con los sistemas de TIC
para apoyar sus negocios y operaciones, y la creciente amenaza cibernética, las FMI deben
designar a un alto ejecutivo para que sea responsable de ejecutar el marco de la resiliencia
cibernética dentro de la organización. El alto ejecutivo desempeñar esta función debería poseer la
experiencia y los conocimientos necesarios para planificar y ejecutar las iniciativas de resiliencia
cibernética.
3. Identification
3.2 Identificación y clasificación
3.2.1 Identificación de funciones y procesos comerciales. Una FMI debe identificar sus funciones
comerciales y respaldar los procesos; además de llevar a cabo una evaluación de riesgos para
garantizar que entiende a fondo la importancia de cada función y los procesos de apoyo, y sus
interdependencias, en la realización de sus funciones. Se busca guiar la priorización de la FMI de
su protección, detección, respuesta y recuperación esfuerzos.
3.2.2 Identificación de los activos de información y el acceso relacionado. Del mismo modo, una
FMI debe identificar y mantener un inventario actual de sus activos de información y
configuraciones de sistema, incluyendo interconexiones con otros sistemas internos y externos,
con el fin de conocer en todo momento los activos que apoyar sus funciones y procesos
comerciales. Una FMI debe llevar a cabo una evaluación de riesgos de esos activos y clasificarlos
en términos de criticidad.
3.2.3 Revisión periódica y actualización. Se debe integrar los esfuerzos de identificación con otros
procesos, como la adquisición y la gestión del cambio, a fin de facilitar una revisión periódica, uso
de un inventario de información activos que permanezca actualizado, preciso y completo.
3.3 Interconexiones
Los sistemas y procesos de FMI son directa o indirectamente interconectados con los sistemas y
procesos de las entidades dentro de su ecosistema, por ejemplo, participantes, bancos de
liquidación, proveedores de liquidez, proveedores de servicios, infraestructura crítica como energía
y telecomunicaciones, proveedores, etc. En consecuencia, la ciber resistencia de esas entidades
podría tener implicaciones significativas en términos del riesgo cibernético que enfrenta el FMI,
particularmente debido a que la importancia de los riesgos que pueden plantear no es
necesariamente proporcional a la criticidad de su negocio relación con la FMI.
4. Protection
4.2 Protección de procesos y activos
4.2.1 Controles. Una FMI debe implementar controles de protección adecuados que estén en línea
con la práctica líder estándares de resiliencia cibernética para minimizar la probabilidad y el
impacto de un ciberataque exitoso. Los controles de protección deberían ser proporcional al
panorama de amenazas de la FMI y al papel sistémico en el sistema financiero, y de forma
coherente con su tolerancia al riesgo.
4.2.2 Resistencia por diseño. Una FMI debería considerar la ciber resistencia desde cero durante
el sistema, proceso y diseño del producto. Un proceso para inculcar resiliencia por diseño debe
asegurar que, entre otras medidas, software, configuraciones de red y hardware se admita o esté
conectado a sistemas críticos donde estén sujetos a rigurosas pruebas contra los estándares de
seguridad relacionados.
4.2.3 Controles TIC fuertes. Las FMI deben mantener constantemente un entorno de control de
TIC fuerte, esto siendo un componente fundamental y crítico de la resiliencia cibernética general.
a. Protección de la información. Implementar medidas apropiadas para proteger la información
(tanto en tránsito y en reposo)
b. Gestión del cambio. Asegurar que la FMI tenga un proceso integral de gestión de cambios que
considera explícitamente los riesgos cibernéticos. Asegurando que exista un proceso para
identificar parches para la tecnología y los activos de software.
c. Configuraciones de seguridad consistentes con niveles de protección. Configurar sistemas y
dispositivos TIC con configuraciones de seguridad que son consistentes con el nivel de protección
esperado.
4.2.4 Protección en capas que facilita la respuesta y la recuperación. Los controles de protección
de una FMI deberían permitir el monitoreo y la detección de actividad anómala en múltiples capas
de las FMI, que requiere un perfil de referencia de la actividad del sistema. Los controles deberían
implementarse de una manera que ayude a monitorear, detectar, contener y analizar actividades
anómalas. El último beneficio se logra porque, en caso de tal compromiso, solo el afectado Se
deben restaurar los segmentos, en lugar de toda la infraestructura de TIC y todos los conjuntos de
datos.
4.3 Interconexiones
4.3.1 Riesgos de interconexiones. Una FMI debe implementar medidas de protección para mitigar
los riesgos que surgen de las entidades dentro de su ecosistema. Los controles apropiados
dependerán del riesgo que surge de la entidad conectada y la naturaleza de la relación con la
entidad. Una FMI debería implementar medidas para mitigar efectivamente lo siguiente:
a. Los requisitos de participación de una FMI deben diseñarse para garantizar que respalden
adecuadamente su marco de resistencia cibernética.
b. El marco de la FMI para gestionar su relación con los proveedores de servicios debe abordar y
ser diseñado para mitigar los riesgos cibernéticos. Como mínimo, una FMI debe garantizar que
sus servicios tercerizados reciban el mismo nivel de resistencia cibernética necesaria si sus
servicios fueron provistos por la FMI sí mismo.
4.4 Amenazas internas
4.4.1 Análisis de seguridad. Una FMI debe implementar medidas para capturar y analizar
anomalías en el comportamiento de personas con acceso a sus sistemas.
4.4.2 Cambios en el estado de empleo. Una FMI debe realizar controles de detección /
antecedentes de nuevos empleados para mitigar las amenazas internas. Deben realizarse
controles similares en todo el personal a intervalos regulares a lo largo de su empleo, acorde con
el acceso del personal a los sistemas críticos.
4.4.3 Control de acceso. El acceso físico y lógico a los sistemas debe permitirse solo a las
personas que están autorizados, y la autorización debe limitarse a las personas que están
debidamente capacitadas y monitoreado. Las FMI deben instituir fuertes controles sobre el sistema
privilegiado, acceso limitado y supervisado estrictamente al personal con derechos de acceso al
sistema elevados.
4.5 Entrenamiento
4.5.1 Personal de FMI. Una FMI debe garantizar que todo el personal sea permanente o temporal,
reciba capacitación para desarrollar y mantener la conciencia y las competencias apropiadas para
detectar y abordar los riesgos relacionados con el ciberespacio.
4.5.2 Grupos de alto riesgo. Grupos de alto riesgo, como aquellos con acceso privilegiado deben
ser identificados y deben recibir entrenamiento específico de seguridad de la información.
5. Detection
5.2 Detección de un ataque cibernético
5.2.1 Monitoreo continuo. Debe establecerse capacidades para monitorear continuamente -en
tiempo real- y detectar actividades y eventos anómalos. Configurar un "centro de operaciones de
seguridad".
5.2.2 Alcance integral del monitoreo. Una FMI debe controlar los factores internos y externos
relevantes, incluida la línea de negocio, las funciones y transacciones administrativas. Se debería
tratar de detectar vulnerabilidades y estimar vulnerabilidades que aún no se conocen
públicamente, llamados también explosión del día-cero, ello a través de una combinación de
monitoreo de firmas para vulnerabilidades conocidas y conductuales mecanismos de detección
basados.
5.2.3 Detección en capas. La capacidad de detectar una intrusión en un temprano momento es
fundamental para una contención rápida y recuperación. Se debe adoptar un enfoque de defensa
en profundidad mediante el establecimiento de controles de detección multicapa cubriendo
personas, procesos y tecnología, con cada capa sirviendo como una red de seguridad para las
capas precedentes.
5.2.4 Respuesta a incidentes. Las capacidades de monitoreo y detección de una FMI deberían
facilitar el proceso de respuesta y recopilación de información para el proceso de investigación.
5.2.5 Análisis de seguridad. Una FMI debe implementar medidas para detectar y analizar
anomalías en el comportamiento de personas con acceso a la red corporativa.

PARTE YANELY
6. Respuesta y recuperación
6.1 Preámbulo
La estabilidad financiera depende de la
capacidad que tiene la FMI2 para responder y
recuperarse rápida y seguramente de los
riesgos sistémicos, en este caso ciberataques.
6.2 Respuesta a incidentes, reanudación y
recuperación – Tras un ataque cibernetico
6.2.1 Planificación de respuesta de incidentes:
-Investigar la naturaleza del ataque, el alcance
y el daño infligido.
-Evitar daños mayores.
-Comenzar esfuerzos de recuperación.
6.2.2. Reanudación dentro de las dos horas:
-De acuerdo a la Consideracion Clave 17.6 de
la PFMI una FMI debe diseñar y probar sus
sistemas de modo que se dé una reanudación
segura antes ciberataques de las dos horas.
6.2.3. Planificación de contingencia.-
-Si no se logra la reanudación en dos horas.
-Entonces se deben poder hacer
transacciones e interdependencias que
faciliten las transacciones críticas.
-También se debe hacer factible y seguro el
procesamiento manual si los sistemas
automatizados no están disponibles.
6.2.4. Planificacion y Preparación.-
- La etapa de preparación, es donde el sistema
se protege para que se restablezca la
integridad y la disponibilidad de sus
operaciones, así como la confidencialidad de
sus activos de información.
6.3 Elementos de diseño
6.3.1 Diseño e integración comercial.
-El diseño y el control de los procesos y del
sistema deben estar hechos para respaldar las
actividades de respuesta a incidentes.
2 3
Financial Market Infrastructure
-Deben limitar el impacto de cualquier
incidente cibernético.
-Reanudar dentro de dos horas, completar la
liquidación al final del día y preservar la
integridad de la transacción.
6.3.2 Integridad de datos.-
- La FMI debe diseñar y probar sus sistemas de
modo que se permita la recuperación de
datos precisos después del ataque.
-La ciberresistencia implica tener una copia de
todos los datos recibidos y procesados.
6.4 Interconexiones
6.4.1 Acuerdos de intercambio de datos.-
- A veces recuperar los datos implica obtener
los datos de terceros, por tanto la FMI debe
considerar la posibilidad de establecer
acuerdos de intercambio con terceros.
6.4.2 Contagio.-
-Debido a la interconección puede darse el
caso que ocurra una propagación del malware
a su ecosistema3.
-Entonces debe estar diseñada para reanudar
las operaciones tan pronto sea posible para
disminuir el riesgo de contagio.
6.4.3. Comunicación en crisis.
-La FMI debe planificar la comunicación con:
las autoridades, otras FMI, proveedores de
servicios, esta comunicación se hará en base
a un análisis de escenarios, es decir informar
sobre los eventos o posibles situaciones que
sucedan tras el ataque cibernético.
6.4.4 Política de Divulgación Responsable.-
- Debe haber una política para divulgar las
posibles vulnerabilidades.
- Este proceso ayuda a mitigar los riesgos pues
el ecosistema podrían actuar contrarrestando
el ataque.
Es como el entorno de otros FMI con el que
interactúa.

6.4.5 Preoaración Forense.-
-La FMI tiene la obligación de registrar los
incidentes cibernéticos e implementar los
controles de protección para futuros procesos
de investigación.
7. PRUEBA
7.1 Preámbulo
-En el marco de resiliencia cibernética se
deben someter todos sus elementos a
rigurosas pruebas para determinar su eficacia
general antes de desplegarlos dentro de una
FMI, y regularmente a partir de entonces.
- El análisis de los resultados de las pruebas
brinda orientación sobre cómo corregir
debilidades o deficiencias en la postura de
ciberresiliencia y reducir o eliminar las
brechas identificadas.
- Entonces ¿Dónde se incluyen las pruebas?,
¿Cómo los resultados de las pruebas mejoran
la ciberresistencia de laFMI?
7.2 Programa de Prueba Integral
7.2.1. Programa de prueba.-
-Válida de forma regular y frecuente la
efectividad de su marco de ciberresistencia.
-Simular agentes de amenaza extremos pero
plausibles, lo que se encuentre sirve para
mejorar la resiliencia cibernética.
7.2.2. Metodología y práctica.-
A) Evaluación de Vulnerabilidad (VA)
B) Pruebas basadas en escenario (hace
simulaciones con diversos agentes)
C) Pruebas de Penetración (evalúa la
profundidad de la seguridad de los sistemas)
D) Pruebas de Equipo Rojo.- Funcionan como
adversarios dentro de un entorno controlado.
Por ejm: un equipo rojo formado por los
propios empleados de FMI y/o expertos
externos.
7.3 Coordinación
7.3.1 Coordinación.-
-Las FMI deben tener ejercicios promovidos,
diseñados, organizados, etc de modo que
prueben procesos de Respuesta,
Reanudación, Recuperación.
-Debe incluir a terceros, proveedores, otros
FMI, autoridades.
-La coordinación te permite dejar las pruebas
aisladas sino incluir escenarios que cubre
infracciones que afectan a múltiples
porciones del ecosistema del FMI.
8.- CONCIENCIA SITUACIONAL
8.1 Preámbulo
-Implica que la FMI comprenda el entorno de
amenaza cibernética dentro de la cual opera.
-Segundo darse cuenta que en ese entorno
esta su negocio, y que debe tomar ciber
medidas para mitigar el riesgo.
-Esta claridad ayuda a adelantarse a los
eventos o a responder rápido.
8.2 Inteligencia de Amenaza Cibernética.
8.2.1 Identificación de amenazas cibernéticas
potenciales.
8.2.2 Proceso de inteligencia de amenaza, se
analiza la información comercial y del sistema
para decirnos el contexto del negocio.
8.2.3. Alcance de la recopilación de amenazas,
se debe capturar info de ciberamenazas
relevantes.
8.2.4 Uso efectivo de la Información.- se debe
dar la info a personal autorizado y apropiado
de modo que mitigue los riesgos a nivel
estratégico.
8.3. Intercambio de Información.
8.3.1 Planificación Anticipada.- dar la info
para que los otros que puedan, ayuden a
mitigar el riesgo,
8.3.2. Grupos de Intercambio de Información.-
- Se debe compartir info bilateral y
multilateralmente.
- Esto en el marco de una mayor RESILIENCIA
Cibernética.

9. APRENDIENDO Y EVOLUCIONANDO.
9.1. Preámbulo.-
- El Marco de RESILIENCIA CIBERNÉTICA de
una FMI necesita lograr una
CIBERRESISTENCIA CONTÍNUA (que
evolucione con los riesgos cibernéticos y
pueda identificar y eliminar las amenazas que
traiga esto).

9.2. Aprendizaje continuo.-

9.2.1. Lecciones de eventos cibernéticos.-
-Se debe identificar lecciones clave de los
cyberataques que han pasado dentro como
fuera de la organización.

9.2.2. Adquirir nuevos conocimiento y

capacidades.-
-Ver los avances de la Tecnología para usarla
y disminuir riesgos. (cyberressitencia
aumenta).

9.2.3. Capacidad Predictiva.-

- Capacidades predictivas y anticipación de los
futuros eventos cibernéticos.

9.3 Evaluación Comparativa de la

Ciberresistencia.
9.3.1. Métricas.-
-Permite evaluar la madurez de resiliencia4
cibernética, según dif criterios. 
Confiabilidad Operacional.
-A través de esto se usa para identificar las
lagunas que estaría teniendo su marco de
resistencia cibernética.

4
Superar el riesgo
Anexo A - Glosario13
Inteligencia procesable.- Información sobre
la cual se puede actuar para abordar, prevenir
o mitigar un ciber amenaza.
Superficie de Ataque .- La suma de las
características de un sistema de información
en las categorías generales (software,
hardware, red, procesos y humanos) que
permite atacante para sondear, ingresar,
atacar o mantener una presencia en el
sistema y potencialmente causar daño a una
FMI.
Proceso comercial.- Una colección de
actividades vinculadas que toma uno o más
tipos de entrada y crea un resultado que es
valioso para las partes interesadas de una
FMI.
Operaciones críticas.- Cualquier actividad,
función, proceso o servicio, cuya pérdida,
incluso para un corto período de tiempo,
afectaría materialmente el funcionamiento
continuo de una FMI, sus participantes, el
mercado al que sirve y / o el sistema
financiero en general.
Cyber; se refiere a la infraestructura de
información interconectada de interacciones
entre personas, procesos, datos e información
y comunicaciones tecnologías, junto con el
entorno y las condiciones que influyen esas
interacciones.
Ataque cibernético El uso de un exploit por un
adversario para aprovechar una debilidad (es)
con la intención de lograr un efecto adverso
en el entorno de las TIC.
Evento cibernético. Ocurrencia observable en
un sistema de información o red.
Disposiciones de gobernanza cibernética.-
una organización establece para establecer,
implementar y revise su enfoque para
manejar riesgos cibernéticos.
Modelo de madurez cibernética.- Un
mecanismo para tener controles, métodos y
procesos de ciberresiliencia evaluados de
acuerdo con las mejores prácticas de gestión,
frente a un conjunto claro de puntos de
referencia externos.
Resistencia cibernética Capacidad de una FMI
para anticipar, resistir, contener y recuperarse
rápidamente de un ciberataque
Marco de referencia de la Resiliencia
cibernética Consiste en las políticas,
procedimientos y controles que una FMI ha
establecido para identificar, proteger,
detectar, responder y recuperarse de las
fuentes plausibles de los riesgos cibernéticos
que enfrenta.
Estrategia de resiliencia cibernética Los
principios de alto nivel de FMI y los planes a
medio plazo para lograr su objetivo de
gestionar los riesgos cibernéticos.
Riesgo cibernético La combinación de la
probabilidad de que un evento ocurra dentro
del reino de los activos de información.
Gestión del riesgo cibernético El proceso
utilizado por una FMI para establecer un
marco de toda la empresa para administrar la
probabilidad de un ciberataque y desarrollar
estrategias para mitigar, responder, aprender
de y coordinar su respuesta al impacto de un
ciber ataque.
Perfil de riesgo cibernético El riesgo
cibernético realmente asumido, medido en un
punto dado en el tiempo.
Tolerancia al riesgo cibernético La
propensión a incurrir en riesgo cibernético,
siendo el nivel de riesgo cibernético que una
FMI tiene la intención de asumir en la
búsqueda de sus objetivos estratégicos.
Amenaza cibernética Una circunstancia o
evento con potencial para intencionalmente o
explotar involuntariamente una o más
vulnerabilidades en los sistemas de un FMI, lo
que resulta en una pérdida de
confidencialidad, integridad o disponibilidad.
Inteligencia de amenaza cibernética
Información que proporciona una
comprensión relevante y suficiente para
mitigar el impacto de un evento
potencialmente dañino (también puede ser
referido a como "información de amenaza
cibernética").
Defensa en profundidad.- Los controles de
seguridad implementados en las diversas
capas de red para proporcionar resistencia en
el caso de la falla o la explotación de una
vulnerabilidad de otro control (también
puede referirse a como "protección en
capas").
Detección Desarrollo e implementación de las
actividades apropiadas para identificar la
ocurrencia de un evento cibernético.
Interrupción.- Es un evento que afecta la
capacidad de una organización para realizar
su operaciones críticas
Ecosistema.- Un sistema o grupo de
elementos interconectados, enlaces
formados y dependencias.
Infraestructura del Mercado financiero.- Un
sistema multilateral entre las instituciones
participantes, incluido el operador del
sistema, utilizado para limpiar, instalar o
registrar pagos, valores, derivados u otras
transacciones financieras.
Investigación forense La aplicación de
técnicas de investigación y análisis para reunir
y preservar la evidencia de un dispositivo
digital impactado por un ataque cibernético.
Preparación forense La capacidad de una FMI
para maximizar el uso de la evidencia digital
para identificar el naturaleza de un
ciberataque.
TIC Tecnologías de la información y las
comunicaciones. Las TIC también se pueden
leer como IT (tecnología de la información) en
este documento.
Identificación.- Desarrollar la comprensión
organizacional requerida para administrar el
ciber riesgo para los sistemas, activos, datos y
capacidades.
Indicador Una ocurrencia o señal que revela
que un incidente puede haber ocurrido o estar
en progreso.
Activo de información.- Cualquier dato,
dispositivo u otro componente del entorno
que apoya actividades relacionadas con la
información. En el contexto de este informe,
los activos de información incluyen datos,
hardware y software.
Información los activos no están limitados a
aquellos que son propiedad de la entidad.
Ellos también incluye aquellos que son
alquilados o alquilados, y aquellos que son
usados por el servicio proveedores para
entregar sus servicios.
Integridad.- Con referencia a la información,
un sistema de información o un componente
de un sistema, la propiedad de no haber sido
modificado o destruido en una manera no
autorizada.
Protección en capas.- Como confiar en
cualquier defensa individual contra una
amenaza cibernética puede ser inadecuada,
una FMI puede usar una serie de defensas
diferentes para cubrir las brechas y reforzar
otras medidas de protección.
Estándares líderes, lineamientos y prácticas
Normas, directrices y prácticas que reflejan
los mejores enfoques de la industria a la
gestión de amenazas cibernéticas, y que
incorporan lo que generalmente son
considerados como las soluciones de
ciberresistencia más efectivas.
Malware.- Software malintencionado
utilizado para interrumpir el funcionamiento
normal de una información sistema de una
manera que tenga un impacto negativo en su
confidencialidad, disponibilidad o integridad.
Resiliencia operacional La capacidad de una
FMI para: (i) mantener las capacidades
operacionales esenciales bajo condiciones
adversas o estrés, incluso si está en un estado
degradado o debilitado; y (ii) recuperar la
capacidad operacional efectiva en un marco
de tiempo consistente con la provisión de
servicios económicos críticos.
Protección Desarrollo e implementación de
salvaguardias, controles y medidas para
permitir la entrega confiable de servicios de a ese defecto; y la capacidad de un atacante
infraestructura críticos. para explota el defecto.

Recuperar Para restaurar cualquier capacidad

o servicio que se haya deteriorado debido a un
evento cibernético.

Equipo rojo Un grupo independiente que

desafía la ciberresistencia de un organización
para probar sus defensas y mejorar su
efectividad. Un equipo rojo ve la resistencia
cibernética de una FMI desde la perspectiva
de un adversario.

Resiliencia por diseño Incorporación de la

seguridad en la tecnología y el desarrollo del
sistema desde las primeras etapas de
conceptualización y diseño.

Respuesta de una FMI, desarrollar e

implementar actividades apropiadas para
poder tomar medidas cuando detecta un
evento cibernético.

Reanudar Para reanudar las funciones

después de un incidente cibernético.

Enfoque basado en el riesgo Un enfoque

mediante el cual las FMI identifican, evalúan y
comprenden los riesgos a los que están
expuestos y toman medidas acordes con estos
riesgos.

Centro de operaciones de seguridad Una

función o servicio responsable de monitorear,
detectar y aislar incidentes.

Conciencia situacional La capacidad de

identificar, procesar y comprender los
elementos críticos de información a través de
un proceso de inteligencia de amenaza
cibernética que proporciona un nivel de
comprensión que es relevante para actuar a
fin de mitigar el impacto de un evento
potencialmente dañino.

Amenaza Una circunstancia o evento que

tiene o indica el potencial de explotar
vulnerabilidades e impactar negativamente.

Vulnerabilidad La vulnerabilidad surge de la

confluencia de tres elementos: la presencia de
una susceptibilidad; el acceso de un atacante