Etiqueta: Riesgo Cibernético

La ciberseguridad de los bancos – Una segunda generación de enfoques regulatorios

Las reglamentaciones bancarias relativas a la ciberseguridad y la ciberresiliencia han madurado y ya están bien establecidas en varias jurisdicciones. Las regulaciones relacionadas con la seguridad cibernética y la resiliencia cibernética cubiertas en Crisanto y Prenio (2017) eran bastante nuevas. Estas regulaciones existían solo en unas pocas jurisdicciones, principalmente en AES, y se centraban en establecer un enfoque y controles de gestión de riesgos cibernéticos. Seis años después, muchas jurisdicciones, incluidas las EMED, ya cuentan con regulaciones relacionadas con el ciberespacio. Muchas de estas regulaciones más recientes (o regulaciones cibernéticas de segunda generación) se centran en mejorar las capacidades de resiliencia cibernética y proporcionar a las instituciones y autoridades financieras herramientas para gestionar adecuadamente los riesgos cibernéticos. No obstante, un número importante de EMED todavía no tienen regulaciones relevantes.
Los reguladores están agregando requisitos o expectativas específicas en algunas áreas o agregando nuevos elementos en sus regulaciones cibernéticas. Ahora existen requisitos regulatorios más específicos sobre respuesta y recuperación de incidentes cibernéticos, así como sobre gestión y supervisión de terceros, informes de incidentes y marcos de prueba. Algunas jurisdicciones también han introducido requisitos o expectativas para la fuerza laboral de seguridad cibernética y las métricas de resiliencia cibernética. Sin embargo, la estrategia de seguridad cibernética, los informes de incidentes cibernéticos, el intercambio de inteligencia de amenazas, las dependencias de terceros y las pruebas de resiliencia cibernética siguen siendo el enfoque principal de estas regulaciones.
Las regulaciones cibernéticas en las EMED tienden a ser más prescriptivas. Este es especialmente el caso cuando se trata de la estrategia de seguridad cibernética, los acuerdos de gobernanza, incluidos los roles y responsabilidades, y la naturaleza y frecuencia de las pruebas de resiliencia cibernética. Los reguladores bancarios en las EMED tal vez vean la necesidad de fortalecer la cultura de resiliencia cibernética en todo el sector financiero y/o de ser más claros y específicos en sus expectativas dadas las limitaciones de recursos y el suministro limitado de habilidades y experiencia en sus jurisdicciones. De esta manera, los consejos de administración, la alta dirección y el personal de los bancos tienen una orientación concreta a seguir para mejorar la seguridad cibernética de sus instituciones.
Es necesario protegerse contra un enfoque basado en el cumplimiento para abordar la ciberseguridad. Demasiada prescriptividad puede resultar en un enfoque de casilla de verificación para la seguridad cibernética. La implementación de regulaciones cibernéticas tampoco debe verse como un ejercicio de casilla de verificación. Debe complementarse con recursos de supervisión adecuados para garantizar una aplicación y un cumplimiento efectivos. Por lo tanto, hay margen para que las organizaciones internacionales y las autoridades financieras en Aes apoyen los esfuerzos de desarrollo de capacidades de supervisión en las EMED, en particular en el ámbito de la ciberseguridad. Después de todo, las amenazas cibernéticas no conocen fronteras.
El trabajo internacional (por ejemplo, de los organismos de seguridad y del G7) ha facilitado un nivel útil de convergencia de la ciber resiliencia en el sector financiero, pero es necesario seguir trabajando. Ninguna empresa o regulador puede abordar con éxito el riesgo cibernético por sí solo. Además, la naturaleza transfronteriza del riesgo cibernético requiere un grado razonable de alineación en las expectativas regulatorias nacionales. El trabajo del G7 CEG y los SSB sobre ciberresiliencia ha hecho que las expectativas de regulación y supervisión financiera sean más consistentes en diferentes jurisdicciones y, por lo tanto, es un paso en la dirección correcta. En particular, la propuesta del FSB para una mayor convergencia en la notificación de incidentes cibernéticos es un desarrollo importante, ya que trata de conciliar los diferentes requisitos jurisdiccionales que solo cargan a las instituciones supervisadas en lugar de ayudar a abordar estos incidentes. En el futuro, podría haber margen para alinear las formas en que las autoridades evalúan la resiliencia cibernética de las instituciones supervisadas. Esto podría, por ejemplo, incluir alinear la evaluación de la adecuación de la gobernanza de seguridad cibernética, la fuerza laboral y las métricas de resiliencia cibernética de una empresa. Además, dadas las posibles implicaciones transfronterizas para el sistema financiero de un incidente cibernético en un proveedor externo crítico, particularmente un proveedor de nube, podría haber margen para considerar un marco de supervisión internacional para dichos proveedores.

La gran entrevista – Líder de riesgo cibernético Ramy Houssaini

Uno de los principales desafíos a los que se enfrentan los equipos de ciberseguridad hoy en día es la mayor complejidad asociada con la operación y gestión de una multitud de controles de seguridad. Esto es difícil por dos razones: primero, la telemetría generada por los diversos controles crea ruido que requiere un procesamiento significativo para capturar las señales débiles clave y filtrar los falsos positivos. Esto puede explicar, por ejemplo, cómo algunas violaciones profundas recientes tardaron un tiempo antes de que las señales iniciales detectadas condujeran a una confirmación clara del ataque.

SEC impulsa los criptoactivos y la unidad cibernética

La Comisión de Bolsa y Valores de los Estados Unidos (SEC) ha «casi duplicado» el tamaño de su Unidad de Criptoactivos y Cibernética (anteriormente simplemente la Unidad Cibernética), parte de su División de Cumplimiento. El anuncio parece indicar un fuerte enfoque futuro en la protección de los inversores en los criptomercados {Ed – ¿O simplemente un retraso en la aplicación?}, así como la iniciativa en curso de la SEC sobre la divulgación de riesgos e incidentes relacionados con el ciberespacio.