Por el Departamento Editorial. 
El Banco de Pagos Internacionales (BIS, por sus iniciales en inglés) plasmó en su reporte “Ciber-resiliencia: gama de prácticas” un análisis realizado a bancos y jurisdicciones alrededor del globo, el cual resalta los hallazgos más relevantes con respecto a sus actividades regulatorias y supervisoras en materia cibernética.
El BIS, organización con el objetivo de fomentar la cooperación financiera y monetaria mundial entre bancos de diferentes jurisdicciones, publicó a través del Comité de Supervisión Bancaria de Basilea (BCBS, por sus iniciales en inglés) el reporte basado en el análisis de las respuestas de las autoridades a encuestas internacionales previas, en intercambios entre expertos internacionales y en las aportaciones de los participantes de la industria.
En definitiva, el documento sintetiza los hallazgos en 10 resultados claves que cubren los puntos más importantes, incluyendo las iniciativas y retos de mayor relevancia que existen actualmente. De acuerdo al BIS, al solapar los resultados en diferentes tópicos, se ayudará a las entidades y organizaciones aludidas a navegar por el ambiente regulatorio de manera que sirva para identificar las áreas específicas en las que el Comité puede crear políticas en un futuro.
A continuación, los 10 resultados claves del reporte:
1-Escenario general
A pesar de la convergencia en las expectativas de alto nivel, las especificaciones técnicas y las prácticas de supervisión difieren entre las jurisdicciones. Esta diversidad de enfoques da como resultado un panorama complejo y fragmentado, pero también es un reflejo necesario de las diferencias reales en los marcos legales de los miembros y el grado de digitalización.
La mayoría de los supervisores aprovechan los estándares nacionales o internacionales desarrollados anteriormente, como la norma ISO 27000 y la guía CPMIIOSCO para la ciber-resiliencia de las infraestructuras de los mercados financieros.
Si bien esta diversidad de enfoques puede resultar en un panorama regulatorio internacional complejo y algo fragmentado, también puede reflejar simplemente las diferencias reales en los marcos legales de los miembros de BCBS y el grado de digitalización.
2- Estrategia
En general, los reguladores no requieren una estrategia cibernética específica, sin embargo, se espera que las instituciones garanticen que los sistemas estén “seguros por diseño” y que se haga énfasis en la capacidad de resiliencia ante las amenazas actuales en lugar de cumplir con un estándar.
Los riesgos cibernéticos plantean desafíos crecientes, evolutivos y únicos para las instituciones y supervisores que requieren atención y recursos dedicados, indica BIS.
3- Gestión del riesgo cibernético.
En la mayoría de las jurisdicciones, las prácticas de gestión de riesgos operativos y de tecnologías de la información (TI) son más maduras y se utilizan para abordar el riesgo cibernético y supervisar la resiliencia cibernética.
En particular, las jurisdicciones esperan que los bancos tengan una estrategia y un marco para mapear y administrar activamente la arquitectura de su sistema de TI. No obstante, los bancos en general todavía carecen de una estrategia cibernética que defina niveles claros de tolerancia y apetito para el riesgo cibernético y que haya sido aprobada y desafiada adecuadamente a nivel de directorio.
4- Gobernanza/organización
Los modelos como el de “tres líneas de defensa” son ampliamente adoptados, pero la resiliencia cibernética no siempre está claramente articulada a través de las líneas técnicas, comerciales y estratégicas, lo que dificulta su efectividad. Esta confusión en los roles y responsabilidades dificulta la efectividad del modelo de las tres líneas de defensa.
5- Fuerza laboral
La escasez de habilidades conduce a desafíos de reclutamiento. La mayoría de los marcos de TI y las regulaciones de gobernabilidad existentes generalmente proporcionan requisitos ampliamente convergentes para las funciones cibernéticas, pero la escasez de habilidades sigue siendo un desafío. Algunas jurisdicciones han implementado o aprovechado las certificaciones cibernéticas específicas para abordar esto.
6- Pruebas
Las pruebas de protección y detección están evolucionando y prevaleciendo; la respuesta y la recuperación no tanto. La respuesta a incidentes y las pruebas de recuperación se realizan generalmente a través de ejercicios de mesa y pruebas de continuidad más amplias.
7- Capacidades de respuesta a incidentes
Aunque no se requiere un marco de gestión de incidentes, sí lo son los planes de respuesta a los mismos. Los supervisores en todas las jurisdicciones esperan que los bancos preparen un plan de respuesta a incidentes para lidiar con los incidentes cibernéticos materiales. La mayoría de los supervisores esperan que los bancos clasifiquen sus activos y servicios de información de acuerdo con su sensibilidad operativa y criticidad comercial.
8- Métricas de evaluación
Aunque algunos indicadores prospectivos de resiliencia cibernética están siendo recogidos a través de las prácticas de supervisión más generalizadas, aún no ha surgido un conjunto estándar de métricas. Esto hace que sea más difícil para los supervisores y los bancos articularse y participar en la ciber-resiliencia.
9- Intercambio de información
El contenido y el uso de la información recopilada o compartida por los bancos y supervisores varía ampliamente según las jurisdicciones. La velocidad, la latitud y la seguridad de las comunicaciones requeridas para hacer frente a un incidente cibernético transfronterizo ha llevado a algunas jurisdicciones a tomar medidas formales específicas en esta área.
La mayoría de los mecanismos de intercambio de información observados involucran comunicaciones de banco a banco y de banco a regulador, y el primero se realiza de manera voluntaria. Otros tipos de intercambio de información, especialmente de regulador a regulador, nacional y transfronterizo, están menos documentados o son sistemáticos, pero tienen lugar en bases ad hoc y bilaterales.
10- Riesgo de terceros
Los marcos regulatorios para las actividades de subcontratación en todas las jurisdicciones están bastante establecidos y comparten elementos comunes, pero no existe un enfoque general con respecto a terceros más allá de los servicios subcontratados. Si bien los terceros pueden proporcionar soluciones rentables para aumentar los niveles de resiliencia, la responsabilidad sigue en los bancos para demostrar una comprensión adecuada y una gestión activa de las dependencias y la concentración de terceros en toda la cadena de valor.
Los supervisores están utilizando estos marcos para explicar las expectativas con respecto a la administración de las dependencias de terceros por parte de sus bancos. Sin embargo, al no existir un enfoque común con respecto a terceros más allá de los servicios subcontratados, implica diferentes ámbitos de regulación y acciones de supervisión.
