Las infraestructuras de los mercados financieros son redes que mitigan los riesgos, pero también pueden convertirse en una fuente de riesgo sistémico si no funcionan correctamente. La creciente amenaza de los ciberataques y los daños y perturbaciones que pueden causar lo ponen claramente de relieve.
Nuestro sistema financiero es tan fuerte como su eslabón más débil. En otras palabras, la ciberseguridad es nuestro bien común y no deja lugar a concesiones: debemos estar un paso por delante de los atacantes. Para lograrlo, debemos adoptar un enfoque que abarque todo el sistema y trabajar juntos continuamente.
El ECRB es una parte importante de este esfuerzo, ya que ofrece un espacio para compartir de manera confiable información, prácticas y técnicas que aumentan nuestra ciberresiliencia común e individual. Al mismo tiempo, los bancos centrales y las autoridades trabajan juntos a nivel internacional en estrecha colaboración con la industria, ya que el riesgo cibernético no es un fenómeno local o regional, sino una amenaza global. [12]
Como nuevo presidente del ECRB, espero trabajar en estos desafíos y mejorar nuestra ciberresiliencia común. La información que compartiremos hoy y los nuevos avances que lograremos ayudarán a fortalecer la ciberresiliencia del sector financiero europeo.
Etiqueta: Resiliencia Cibernética
Repensar las ciudades para lograr la resiliencia y el crecimiento en el mundo post-covid-19
El uso que hace este capítulo del caso de Albay, un caso extremo de interrupciones del suministro eléctrico y no representativo del contexto filipino, no es un intento de generalizar las circunstancias nacionales. Usamos este caso para obtener información sobre algo que eventualmente podría suceder a una escala más amplia, pero que se ha experimentado con más frecuencia en Albay. Como afirma Flyvbjerg (2006), los casos atípicos o extremos suelen revelar más información en comparación con las muestras medias o aleatorias porque activan más actores y mecanismos más básicos en la situación estudiada. Si bien afirmamos que los conocimientos generados por este estudio deberían ser suficientes para iniciar una conversación entre los responsables de la formulación de políticas y otras partes interesadas, este estudio también puede servir como una base sólida para diseñar los parámetros de un estudio cuantitativo replicable y comparable. Un estudio de este tipo permitirá comparar la competencia de apagón en diferentes localidades o características de los encuestados. Por ejemplo, los resultados de las encuestas sobre el terreno y en línea mostraron posibles diferencias demográficas en las contramedidas (véase la sección 1.2.2). Una evaluación más profunda podría incluso revelar matices en los mecanismos de afrontamiento de los grupos vulnerables, como las personas con enfermedades o discapacidades. Comprender sus necesidades específicas podría ayudar a las partes interesadas pertinentes a adaptar sus intervenciones.
Otro aspecto que no se considera en este capítulo es el contexto de resiliencia ante desastres de Albay. Un estudio que compara la competencia de apagones en áreas propensas a desastres con las que no lo son puede revelar cuánto de la preparación para eventos climáticos y geológicos extremos se integra en las prácticas y comunidades de los individuos, lo que también los hace resistentes a los cortes de energía. Esto se debe a que las interrupciones de energía en áreas amplias a menudo son consecuencia de desastres de tal escala.
Aunque este estudio se centró en el segmento residencial, otros segmentos de consumidores, como el industrial y el comercial, también pueden tener contramedidas fuertemente integradas contra las interrupciones de energía. Otros estudios que analizan estos aspectos son oportunidades para conocer las mejores prácticas que pueden reforzar la resiliencia de las ciudades y las comunidades.
Por último, a pesar de la viabilidad de la aplicación de la política eléctrica de arriba hacia abajo desde el nivel nacional, este estudio muestra el valor de comprender las circunstancias únicas de los diferentes grupos de clientes en diferentes lugares. Por lo tanto, los responsables de la formulación de políticas deberían considerar la posibilidad de instituir mecanismos para evitar políticas eléctricas de talla única y permitir la flexibilidad basada en el contexto en la planificación y la toma de decisiones.
La ciberseguridad de los bancos – Una segunda generación de enfoques regulatorios
Las reglamentaciones bancarias relativas a la ciberseguridad y la ciberresiliencia han madurado y ya están bien establecidas en varias jurisdicciones. Las regulaciones relacionadas con la seguridad cibernética y la resiliencia cibernética cubiertas en Crisanto y Prenio (2017) eran bastante nuevas. Estas regulaciones existían solo en unas pocas jurisdicciones, principalmente en AES, y se centraban en establecer un enfoque y controles de gestión de riesgos cibernéticos. Seis años después, muchas jurisdicciones, incluidas las EMED, ya cuentan con regulaciones relacionadas con el ciberespacio. Muchas de estas regulaciones más recientes (o regulaciones cibernéticas de segunda generación) se centran en mejorar las capacidades de resiliencia cibernética y proporcionar a las instituciones y autoridades financieras herramientas para gestionar adecuadamente los riesgos cibernéticos. No obstante, un número importante de EMED todavía no tienen regulaciones relevantes.
Los reguladores están agregando requisitos o expectativas específicas en algunas áreas o agregando nuevos elementos en sus regulaciones cibernéticas. Ahora existen requisitos regulatorios más específicos sobre respuesta y recuperación de incidentes cibernéticos, así como sobre gestión y supervisión de terceros, informes de incidentes y marcos de prueba. Algunas jurisdicciones también han introducido requisitos o expectativas para la fuerza laboral de seguridad cibernética y las métricas de resiliencia cibernética. Sin embargo, la estrategia de seguridad cibernética, los informes de incidentes cibernéticos, el intercambio de inteligencia de amenazas, las dependencias de terceros y las pruebas de resiliencia cibernética siguen siendo el enfoque principal de estas regulaciones.
Las regulaciones cibernéticas en las EMED tienden a ser más prescriptivas. Este es especialmente el caso cuando se trata de la estrategia de seguridad cibernética, los acuerdos de gobernanza, incluidos los roles y responsabilidades, y la naturaleza y frecuencia de las pruebas de resiliencia cibernética. Los reguladores bancarios en las EMED tal vez vean la necesidad de fortalecer la cultura de resiliencia cibernética en todo el sector financiero y/o de ser más claros y específicos en sus expectativas dadas las limitaciones de recursos y el suministro limitado de habilidades y experiencia en sus jurisdicciones. De esta manera, los consejos de administración, la alta dirección y el personal de los bancos tienen una orientación concreta a seguir para mejorar la seguridad cibernética de sus instituciones.
Es necesario protegerse contra un enfoque basado en el cumplimiento para abordar la ciberseguridad. Demasiada prescriptividad puede resultar en un enfoque de casilla de verificación para la seguridad cibernética. La implementación de regulaciones cibernéticas tampoco debe verse como un ejercicio de casilla de verificación. Debe complementarse con recursos de supervisión adecuados para garantizar una aplicación y un cumplimiento efectivos. Por lo tanto, hay margen para que las organizaciones internacionales y las autoridades financieras en Aes apoyen los esfuerzos de desarrollo de capacidades de supervisión en las EMED, en particular en el ámbito de la ciberseguridad. Después de todo, las amenazas cibernéticas no conocen fronteras.
El trabajo internacional (por ejemplo, de los organismos de seguridad y del G7) ha facilitado un nivel útil de convergencia de la ciber resiliencia en el sector financiero, pero es necesario seguir trabajando. Ninguna empresa o regulador puede abordar con éxito el riesgo cibernético por sí solo. Además, la naturaleza transfronteriza del riesgo cibernético requiere un grado razonable de alineación en las expectativas regulatorias nacionales. El trabajo del G7 CEG y los SSB sobre ciberresiliencia ha hecho que las expectativas de regulación y supervisión financiera sean más consistentes en diferentes jurisdicciones y, por lo tanto, es un paso en la dirección correcta. En particular, la propuesta del FSB para una mayor convergencia en la notificación de incidentes cibernéticos es un desarrollo importante, ya que trata de conciliar los diferentes requisitos jurisdiccionales que solo cargan a las instituciones supervisadas en lugar de ayudar a abordar estos incidentes. En el futuro, podría haber margen para alinear las formas en que las autoridades evalúan la resiliencia cibernética de las instituciones supervisadas. Esto podría, por ejemplo, incluir alinear la evaluación de la adecuación de la gobernanza de seguridad cibernética, la fuerza laboral y las métricas de resiliencia cibernética de una empresa. Además, dadas las posibles implicaciones transfronterizas para el sistema financiero de un incidente cibernético en un proveedor externo crítico, particularmente un proveedor de nube, podría haber margen para considerar un marco de supervisión internacional para dichos proveedores.
Informe Final – Recomendaciones para Lograr una Mayor Convergencia en el Reporte de Incidentes Cibernéticos
La interconexión del sistema financiero global hace posible que un incidente cibernético en una institución financiera (o un incidente en uno de sus proveedores de servicios externos) pueda tener efectos indirectos a través de fronteras y sectores.
Los incidentes cibernéticos están creciendo rápidamente en frecuencia y sofisticación. Al mismo tiempo, el panorama de las amenazas cibernéticas se está expandiendo en medio de la transformación digital, el aumento de la dependencia de proveedores de servicios externos y las tensiones geopolíticas.
Reconociendo que la información oportuna y precisa sobre incidentes cibernéticos es crucial para una respuesta y recuperación efectiva de incidentes y para promover la estabilidad financiera, el G20 solicitó al FSB que entregue un informe sobre cómo lograr una mayor convergencia en el informe de incidentes cibernéticos (CIR).
A partir del cuerpo de trabajo del FSB sobre cibernética, incluido el compromiso con las partes interesadas externas, el informe identifica puntos en común en los marcos de CIR y detalla los problemas prácticos asociados con la recopilación de información sobre incidentes cibernéticos de las IF y el intercambio posterior entre las autoridades financieras. Estas cuestiones prácticas incluyen:
i. desafíos operativos derivados del proceso de presentación de informes a múltiples autoridades;
ii. establecer criterios/umbrales cualitativos y cuantitativos apropiados y coherentes para la presentación de informes;
iii. establecer una cultura apropiada para reportar incidentes de manera oportuna;
iv. definiciones y taxonomía inconsistentes relacionadas con la seguridad cibernética;
v. establecer un mecanismo seguro para comunicar sobre incidentes cibernéticos; y
vi. Restricciones legales o de confidencialidad en el intercambio de información con autoridades a través de fronteras y sectores.
Este informe establece 16 recomendaciones para abordar estos problemas con el fin de promover las mejores prácticas en la notificación de incidentes cibernéticos.