![](\"images\/easyblog_images\/13912\/b2ap3_thumbnail_Ciber-risk.jpg\" "\\"b2ap3_thumbnail_Ciber-risk.jpg\\"")
<\/p>\nPor el Departamento Editorial. <\/p>\n
El Banco de Pagos Internacionales (BIS, por sus iniciales en ingl\u00e9s) plasm\u00f3 en su reporte \u201cCiber-resiliencia: gama de pr\u00e1cticas\u201d un an\u00e1lisis realizado a bancos y jurisdicciones alrededor del globo, el cual resalta los hallazgos m\u00e1s relevantes con respecto a sus actividades regulatorias y supervisoras en materia cibern\u00e9tica.<\/span><\/p>\n El BIS, organizaci\u00f3n con el objetivo de fomentar la cooperaci\u00f3n financiera y monetaria mundial entre bancos de diferentes jurisdicciones, public\u00f3 a trav\u00e9s del Comit\u00e9 de Supervisi\u00f3n Bancaria de Basilea (BCBS, por sus iniciales en ingl\u00e9s) el reporte basado en el an\u00e1lisis de las respuestas de las autoridades a encuestas internacionales previas, en intercambios entre expertos internacionales y en las aportaciones de los participantes de la industria.<\/span><\/p>\n En definitiva, el documento sintetiza los hallazgos en 10 resultados claves que cubren los puntos m\u00e1s importantes, incluyendo las iniciativas y retos de mayor relevancia que existen actualmente. De acuerdo al BIS, al solapar los resultados en diferentes t\u00f3picos, se ayudar\u00e1 a las entidades y organizaciones aludidas a navegar por el ambiente regulatorio de manera que sirva para identificar las \u00e1reas espec\u00edficas en las que el Comit\u00e9 puede crear pol\u00edticas en un futuro.<\/span><\/p>\n A continuaci\u00f3n, los 10 resultados claves del reporte:<\/span><\/p>\n 1-Escenario general<\/span><\/strong><\/p>\n A pesar de la convergencia en las expectativas de alto nivel, las especificaciones t\u00e9cnicas y las pr\u00e1cticas de supervisi\u00f3n difieren entre las jurisdicciones. Esta diversidad de enfoques da como resultado un panorama complejo y fragmentado, pero tambi\u00e9n es un reflejo necesario de las diferencias reales en los marcos legales de los miembros y el grado de digitalizaci\u00f3n.<\/span><\/p>\n La mayor\u00eda de los supervisores aprovechan los est\u00e1ndares nacionales o internacionales desarrollados anteriormente, como la norma ISO 27000 y la gu\u00eda CPMIIOSCO para la ciber-resiliencia de las infraestructuras de los mercados financieros.<\/span><\/p>\n Si bien esta diversidad de enfoques puede resultar en un panorama regulatorio internacional complejo y algo fragmentado, tambi\u00e9n puede reflejar simplemente las diferencias reales en los marcos legales de los miembros de BCBS y el grado de digitalizaci\u00f3n.<\/span><\/p>\n 2- Estrategia<\/span><\/strong><\/p>\n En general, los reguladores no requieren una estrategia cibern\u00e9tica espec\u00edfica, sin embargo, se espera que las instituciones garanticen que los sistemas est\u00e9n “seguros por dise\u00f1o” y que se haga \u00e9nfasis en la capacidad de resiliencia ante las amenazas actuales en lugar de cumplir con un est\u00e1ndar.<\/span><\/p>\n Los riesgos cibern\u00e9ticos plantean desaf\u00edos crecientes, evolutivos y \u00fanicos para las instituciones y supervisores que requieren atenci\u00f3n y recursos dedicados, indica BIS.<\/span><\/p>\n 3- Gesti\u00f3n del riesgo cibern\u00e9tico.<\/span><\/strong><\/p>\n En la mayor\u00eda de las jurisdicciones, las pr\u00e1cticas de gesti\u00f3n de riesgos operativos y de tecnolog\u00edas de la informaci\u00f3n (TI) son m\u00e1s maduras y se utilizan para abordar el riesgo cibern\u00e9tico y supervisar la resiliencia cibern\u00e9tica.<\/span><\/p>\n En particular, las jurisdicciones esperan que los bancos tengan una estrategia y un marco para mapear y administrar activamente la arquitectura de su sistema de TI. No obstante, los bancos en general todav\u00eda carecen de una estrategia cibern\u00e9tica que defina niveles claros de tolerancia y apetito para el riesgo cibern\u00e9tico y que haya sido aprobada y desafiada adecuadamente a nivel de directorio.<\/span><\/p>\n 4- Gobernanza\/organizaci\u00f3n<\/span><\/strong><\/p>\n Los modelos como el de “tres l\u00edneas de defensa” son ampliamente adoptados, pero la resiliencia cibern\u00e9tica no siempre est\u00e1 claramente articulada a trav\u00e9s de las l\u00edneas t\u00e9cnicas, comerciales y estrat\u00e9gicas, lo que dificulta su efectividad. Esta confusi\u00f3n en los roles y responsabilidades dificulta la efectividad del modelo de las tres l\u00edneas de defensa. <\/span><\/p>\n 5- Fuerza laboral<\/span><\/strong><\/p>\n La escasez de habilidades conduce a desaf\u00edos de reclutamiento. La mayor\u00eda de los marcos de TI y las regulaciones de gobernabilidad existentes generalmente proporcionan requisitos ampliamente convergentes para las funciones cibern\u00e9ticas, pero la escasez de habilidades sigue siendo un desaf\u00edo. Algunas jurisdicciones han implementado o aprovechado las certificaciones cibern\u00e9ticas espec\u00edficas para abordar esto.<\/span><\/p>\n 6- Pruebas<\/span><\/strong><\/p>\n Las pruebas de protecci\u00f3n y detecci\u00f3n est\u00e1n evolucionando y prevaleciendo; la respuesta y la recuperaci\u00f3n no tanto. La respuesta a incidentes y las pruebas de recuperaci\u00f3n se realizan generalmente a trav\u00e9s de ejercicios de mesa y pruebas de continuidad m\u00e1s amplias.<\/span><\/p>\n 7- Capacidades de respuesta a incidentes<\/span><\/strong><\/p>\n Aunque no se requiere un marco de gesti\u00f3n de incidentes, s\u00ed lo son los planes de respuesta a los mismos. Los supervisores en todas las jurisdicciones esperan que los bancos preparen un plan de respuesta a incidentes para lidiar con los incidentes cibern\u00e9ticos materiales. La mayor\u00eda de los supervisores esperan que los bancos clasifiquen sus activos y servicios de informaci\u00f3n de acuerdo con su sensibilidad operativa y criticidad comercial.<\/span><\/p>\n 8- M\u00e9tricas de evaluaci\u00f3n<\/span><\/strong><\/p>\n Aunque algunos indicadores prospectivos de resiliencia cibern\u00e9tica est\u00e1n siendo recogidos a trav\u00e9s de las pr\u00e1cticas de supervisi\u00f3n m\u00e1s generalizadas, a\u00fan no ha surgido un conjunto est\u00e1ndar de m\u00e9tricas. Esto hace que sea m\u00e1s dif\u00edcil para los supervisores y los bancos articularse y participar en la ciber-resiliencia.<\/span><\/p>\n 9- Intercambio de informaci\u00f3n <\/span><\/strong><\/p>\n El contenido y el uso de la informaci\u00f3n recopilada o compartida por los bancos y supervisores var\u00eda ampliamente seg\u00fan las jurisdicciones. La velocidad, la latitud y la seguridad de las comunicaciones requeridas para hacer frente a un incidente cibern\u00e9tico transfronterizo ha llevado a algunas jurisdicciones a tomar medidas formales espec\u00edficas en esta \u00e1rea.<\/span><\/p>\n La mayor\u00eda de los mecanismos de intercambio de informaci\u00f3n observados involucran comunicaciones de banco a banco y de banco a regulador, y el primero se realiza de manera voluntaria. Otros tipos de intercambio de informaci\u00f3n, especialmente de regulador a regulador, nacional y transfronterizo, est\u00e1n menos documentados o son sistem\u00e1ticos, pero tienen lugar en bases ad hoc y bilaterales.<\/span><\/p>\n 10- Riesgo de terceros<\/span><\/strong><\/p>\n Los marcos regulatorios para las actividades de subcontrataci\u00f3n en todas las jurisdicciones est\u00e1n bastante establecidos y comparten elementos comunes, pero no existe un enfoque general con respecto a terceros m\u00e1s all\u00e1 de los servicios subcontratados. Si bien los terceros pueden proporcionar soluciones rentables para aumentar los niveles de resiliencia, la responsabilidad sigue en los bancos para demostrar una comprensi\u00f3n adecuada y una gesti\u00f3n activa de las dependencias y la concentraci\u00f3n de terceros en toda la cadena de valor. <\/span><\/p>\n Los supervisores est\u00e1n utilizando estos marcos para explicar las expectativas con respecto a la administraci\u00f3n de las dependencias de terceros por parte de sus bancos. Sin embargo, al no existir un enfoque com\u00fan con respecto a terceros m\u00e1s all\u00e1 de los servicios subcontratados, implica diferentes \u00e1mbitos de regulaci\u00f3n y acciones de supervisi\u00f3n.<\/span><\/p>\n <\/span><\/p>\n <\/span><\/p>\n <\/span><\/p>\n <\/span><\/p>\n <\/span><\/p>\n <\/p>\n","protected":false},"excerpt":{"rendered":" Por el Departamento Editorial. El Banco de Pagos Internacionales (BIS, por sus iniciales en ingl\u00e9s) plasm\u00f3 en su reporte \u201cCiber-resiliencia: […]<\/p>\n","protected":false},"featured_media":0,"template":"","categoria_de_base_de_conocimient":[299],"etiqueta_de_base_de_conocimiento":[],"categoria_multimedia":[],"class_list":["post-6494","articulos","type-articulos","status-publish","hentry","categoria_de_base_de_conocimient-articulos-y-mas-informacion"],"yoast_head":"\n