El Consejo de Estabilidad Financiera (FSB, por sus siglas en inglés) publicó el formato final para el intercambio de informes de incidentes (FIRE, por sus siglas en inglés), un marco global diseñado para armonizar la forma en que las instituciones financieras informan sobre incidentes operativos y cibernéticos. FIRE, desarrollado con la colaboración tanto de los organismos reguladores como del sector privado, tiene como objetivo reducir la fragmentación de los informes y mejorar la cooperación transfronteriza.
El marco FIRE incluye un conjunto estandarizado de definiciones de datos y está diseñado para ser lo suficientemente flexible como para utilizarse en distintas jurisdicciones e industrias. Está concebido para la interoperabilidad y resulta especialmente valioso para las empresas que presentan informes a múltiples autoridades. Para las jurisdicciones que no cuentan con un sistema estandarizado, FIRE ofrece una base sólida. Para aquellas que ya disponen de marcos, garantiza una integración fluida y una implementación por fases.
Para acelerar su adopción global, el FSB también ha publicado un paquete técnico completo, que incluye un modelo abstracto, reglas de validación y una taxonomía XBRL. Esto significa que FIRE no es solo un concepto, sino que es legible por máquinas, está preparado para el futuro y listo para su implementación digital en el mundo real. Se podría usar una herramienta sencilla basada en Excel para crear y validar informes, pero también son posibles soluciones empresariales basadas en la interacción entre máquinas.
Este es un ejemplo contundente de cómo los formatos digitales estructurados, como XBRL, pueden respaldar la gestión de riesgos y la resiliencia a escala global. Informes más sólidos. Respuesta más inteligente. Y sí, otros sectores deberían tomar nota.
Formato para el Intercambio de Informes de Incidentes (FIRE)
La notificación de incidentes es un mecanismo clave para que las autoridades financieras supervisen las interrupciones dentro de las entidades reguladas. Las diferencias en los enfoques de reporte entre jurisdicciones resultan en requisitos fragmentados y desafíos de coordinación. Una mayor armonización de la información regulatoria apoya la respuesta y recuperación eficiente de incidentes por parte de las empresas, así como una supervisión y cooperación efectivas entre las autoridades. El Formato para el Intercambio de Informes de Incidentes (FIRE) tiene como objetivo promover elementos informativos comunes para la notificación de incidentes, permitiendo al mismo tiempo prácticas flexibles de implementación. Las autoridades pueden elegir hasta qué punto adoptan FIRE y aprovechar sus características y definiciones para promover la convergencia y facilitar la traducción entre marcos existentes.
FIRE está diseñado para cubrir incidentes operativos, incluidos los ciber incidentes, y va más allá del trabajo previo del FSB sobre la ciber resiliencia. Proporciona un conjunto de elementos comunes de información para informar de incidentes, pero no define desencadenantes, plazos o enfoques de mitigación habituales para la notificación. El diseño se centra en la información de los participantes del sector financiero a las autoridades y es flexible para permitir que las entidades reguladas aprovechen la FIRE en sus relaciones con los proveedores de servicios. Las características de FIRE permiten flexibilidad para las autoridades que adoptan el formato total o parcialmente. De los 87 elementos de información definidos, 39 son opcionales, lo que permite a las autoridades decidir cuáles implementar según sus necesidades. Las autoridades pueden personalizar la visión básica de las fases de notificación, manteniéndose atentas a no agravar los desafíos operativos. Pueden optar por proporcionar especificaciones adicionales para campos no estructurados. Además, los nombres de los campos y las entradas permitidas pueden ajustarse para satisfacer las necesidades del idioma local manteniendo la equivalencia conceptual. Una entidad que decida alinearse completamente con FIRE debe incluir toda la información esencial, cumplir con los requisitos básicos de opcionalidad, utilizar tipos de campos compatibles y adherirse a listas enumeradas. La implementación parcial aún puede ofrecer algunos beneficios de coherencia e interoperabilidad.
Para facilitar la adopción global de FIRE, el FSB también publica un modelo de datos utilizando el método del Modelo de Puntos de Datos (DPM), que permite versiones legibles por máquina de FIRE como en el Lenguaje de Reporte Empresarial Extensible (XBRL). Un formato legible por máquina mejora la eficiencia, precisión y transparencia de la notificación de incidentes, permitiendo a las autoridades financieras recopilar datos definidos de forma consistente entre entidades y jurisdicciones y apoyar el análisis y seguimiento de riesgos. DPM también facilita la interoperabilidad y flexibilidad entre diferentes sistemas y software, permitiendo un intercambio de datos fluido. El FSB celebrará un taller con la industria y las autoridades dos años después de que se finalice FIRE (por ejemplo, en 2027) para hacer balance de sus experiencias con FIRE, incluyendo los desafíos de implementación.
Desde 2017, el FSB ha destacado la amenaza de los incidentes cibernéticos para la estabilidad del sistema financiero y ha comenzado a identificar e abordar debilidades e ineficiencias que podrían agravar dichos choques. Una respuesta y recuperación eficiente y eficaz ante incidentes es esencial para limitar los riesgos relacionados con la estabilidad financiera. Una mayor armonización de la información regulatoria apoya la supervisión efectiva de las instituciones financieras y facilita la cooperación y coordinación entre las autoridades en el seguimiento y el abordaje de estos riesgos.
La notificación de incidentes se considera uno de los principales mecanismos utilizados por las autoridades financieras para mantener la visibilidad de las interrupciones que ocurren en sus entidades reguladas, y en línea con sus mandatos individuales. Sin embargo, los enfoques para la notificación de incidentes se han desarrollado de forma independiente con el tiempo, lo que ha llevado a requisitos de información fragmentados y a desafíos de coordinación entre autoridades y jurisdicciones.
FIRE se desarrolló en consulta con participantes del sector privado. El proceso incluyó una Fase de Descubrimiento para identificar similitudes en las necesidades de reporte de incidentes y una Fase de Diseño para desarrollar los componentes de FIRE. Se llevó a cabo una Fase de Pruebas para validar el diseño y la robustez de FIRE utilizando diferentes tipos de incidentes y escenarios. Se ha previsto un taller para 2027 para revisar las experiencias y determinar la necesidad de revisiones. FIRE es un enfoque para promover elementos de información comunes y requisitos para la notificación de incidentes, manteniéndose flexible respecto a una variedad de prácticas de implementación. Se basa en el informe del FSB sobre una posible vía a seguir para desarrollar FIRE1 y pretende abordar los requisitos informativos de cada autoridad y los problemas prácticos más pronunciados en la notificación de incidentes por parte de las empresas.
FIRE no establece requisitos directos a las empresas, y el FSB no recopilará informes de incidentes. Más bien, para que FIRE sea utilizable, requeriría su implementación por parte de las autoridades individuales, o que la autoridad indique que acepta informes alineados con FIRE. Las autoridades podrían decidir hasta qué punto desean adoptar FIRE, si es que lo hacen, en función de sus circunstancias individuales. Por ejemplo, las autoridades podrían considerar aprovechar un subconjunto de las características o definiciones, lo que promovería una forma limitada de convergencia. Incluso si no es adoptado por una sola jurisdicción, FIRE podría servir como un formato común para que las instituciones financieras se relacionen con una variedad de requisitos de información y ayuden a traducir entre marcos existentes.
Durante el trabajo del FSB sobre la notificación de incidentes cibernéticos,2 se identificaron tres tipos distintos de informe, para los cuales los respectivos requisitos de información se reflejan en este formato:
■ Informes iniciados por la institución, que se activan cuando un incidente cumple los criterios de notificación de una o más autoridades financieras o cuando se reporta voluntariamente, e incluye informes iniciales, intermedios y finales asociados al ciclo de vida del incidente de extremo a extremo;
■ informes iniciados por autoridad, donde la información del incidente se informa tras una solicitud de una o más autoridades para comprender mejor los efectos de un incidente sectorial; y
■ Reporte periódico de información relacionada con incidentes recopilada de instituciones reguladas de forma regular (no basada en eventos).
Dado que el informe iniciado por la institución es el tipo de reporte más prevalente y presenta los mayores desafíos operativos para las instituciones financieras, el diseño FIRE se ha centrado en definir elementos comunes de información para los informes iniciados por la institución.
El diseño FIRE se limita a un conjunto de elementos comunes de información para informar incidentes. No define desencadenantes comunes de reporte, plazos de reporte, enfoques de mitigación u otros aspectos de la respuesta y recuperación de incidentes cibernéticos.
Además de diseñar un formato ‘legible por humanos’, se ha desarrollado un modelo de datos de FIRE para maximizar la flexibilidad e interoperabilidad utilizando el método DPM3, independiente del lenguaje. Este modelo de datos permite crear versiones legibles por máquina de FIRE por cualquiera, como la codificada con XBRL que forma parte de este paquete. FIRE ofrece flexibilidad a las autoridades para aprovechar la taxonomía XBRL pre desarrollada (por ejemplo, exigiendo presentaciones xBRL-CSV) o los informes de incidentes FIRE en un lenguaje de reporte diferente.
Alcance de FIRE
El diseño de FIRE abarca la notificación de incidentes operativos (incluidos los ciber incidentes), principalmente desde instituciones financieras hasta autoridades financieras. Inventarios previos del FSB identificaron que muchas autoridades no tienen un enfoque o mecanismo de notificación diferente específicamente para incidentes cibernéticos. En cambio, muchos marcos tratan la notificación de incidentes cibernéticos como parte de una notificación operativa más amplia de incidentes. Por esa razón, el alcance de FIRE va más allá del trabajo previo del FSB sobre ciber resiliencia.
La información detallada por parte de instituciones no financieras no está dentro del ámbito principal del diseño FIRE, pero existe suficiente flexibilidad en el diseño para su posible uso por instituciones y autoridades no financieras en jurisdicciones individuales.
Las instituciones financieras también podrían optar por aprovechar FIRE en sus relaciones con proveedores de servicios externos, independientemente de cualquier decisión de las autoridades de implementarla. Pueden acordar con sus proveedores de servicios (cadena de servicios) que estos últimos utilizan FIRE para informar a la institución de cualquier incidente operativo que afecte su capacidad para prestar servicios acordados u otras obligaciones.
Desarrollo de FIRE
El desarrollo de FIRE se desarrolló en varias fases, que abarcan un periodo de 18 meses de esfuerzo colaborativo entre participantes del sector público y privado.
Tras su movilización inicial para identificar recursos con representación de las autoridades miembros del FSB y la industria, el grupo de trabajo inició una Fase de Descubrimiento para identificar las necesidades de notificación de incidentes basadas en la retroalimentación de los interesados y para determinar los requisitos previos y la viabilidad de FIRE. Se llevó a cabo un ejercicio de recopilación de información para determinar el nivel de apoyo a los elementos individuales de información, con el fin de construir consenso sobre esos temas y obtener una visión más clara del esfuerzo estimado y la complejidad para llevar a cabo el proyecto.
Tras demostrar suficiente consenso y viabilidad para cumplir los objetivos del grupo de trabajo, el proyecto entró en su Fase de Diseño para desarrollar los componentes del concepto FIRE. El esfuerzo de diseño se dividió en dos: más del 80% de los elementos de información se estimó que requerían poco o un esfuerzo intermedio de diseño (colectivamente, elementos de ‘bajo esfuerzo’), mientras que los elementos restantes se consideraron que requerían ‘esfuerzo significativo’. Los primeros se llevaron inmediatamente a la fase de diseño, mientras que el diseño de los elementos informativos de gran esfuerzo implicó múltiples rondas de talleres virtuales entre autoridades y participantes de la industria para profundizar en la comprensión mutua de los requisitos de diseño.
Paralelamente al trabajo de diseño, se realizó un ejercicio comparativo con varios marcos existentes y futuros de notificación de incidentes nacionales o regionales para identificar posibles necesidades de ajustes o inclusión de elementos de información adicional en el diseño FIRE.