Guías de supervisión para la Ciberseguridad y Ciberresiliencia

Los procedimientos de supervisión estarán destinados a determinar la implementación de controles que permitan a las entidades financieras una adecuada gestión de la ciberseguridad y la ciberresiliencia. Entre otros aspectos, se evaluarán:

Estructura, roles y responsabilidades:

• La existencia de roles y funciones vinculadas a la gestión de la ciberseguridad/ciberresiliencia a fin de minimizar los impactos negativos de los ciberataques reales o futuros.
• La participación en el Comité de Tecnología Informática, del responsable de la gestión de la ciberseguridad/ciberresiliencia.

Estrategia, políticas, normas y procedimientos:

• La existencia de una estrategia de ciberseguridad/ciberresiliencia que permita en forma coordinada y metodológica anticiparse, resistir, recuperarse y evolucionar frente a las ciber-amenazas.
• En la gestión de riesgos, la incorporación e identificación de amenazas y vulnerabilidades relacionadas con ciberseguridad/ciberresiliencia.
• Promover el conocimiento y el desarrollo de habilidades y conocimientos de las personas en apoyo de sus misiones y funciones en la consecución y el mantenimiento de la ciberresiliencia operacional y la protección.
• La existencia de iniciativas y actividades de concientización acerca de ciberseguridad/ciberresiliencia que incorporen prácticas en la organización a través de las cuales se pueden disminuir los riesgos inherentes asociados a las ciber-amenazas.

Gestión de monitoreo y control

• La existencia de un sistema de control interno que asegure la eficacia y la eficiencia de las operaciones garantizando el funcionamiento de los servicios críticos y los activos que los soportan.
• Mantener una base de conocimiento que contenga todos los eventos de ciberseguridad recolectados, que posibiliten la identificación de potenciales ciberataques.
• Mecanismos para identificar y bloquear automáticamente los accesos a la red en forma no autorizada.
• Mecanismos para la gestión del uso de claves y cuentas privilegiados.
• La existencia de procesos para prevenir y detectarla fuga de información.

Gestión de incidentes

• La existencia de procesos para identificar y analizar los acontecimientos, detectar incidentes, y determinar y aplicar una adecuada respuesta.
• La existencia de un área/sector para la gestión integral de incidentes, para responder en tiempo y forma y en todos los niveles relacionados con la ciberseguridad.

Gestión de la continuidad

La definición de planes de continuidad que contemplen:
  • la identificación de posibles escenarios vinculados con ciberataques que puedan afectar la continuidad de los servicios críticos;
  • la alineación con las necesidades de negocios que la entidad ha establecido en el BIA, y con el modelo de gestión de riesgos operacionales y/o tecnológicos definidos, y
  • la realización de testeos sobre posibles escenarios vinculados con ciberataques que puedan afectar la continuidad de los servicios críticos definidos por la entidad.

Gestión de Terceras Partes

La existencia de prácticas relacionadas con la contratación de terceras partes en las que se consideren:
  • el cumplimiento de requisitos regulatorios;
  • el establecimiento de roles y responsabilidades;
  • la identificación de actividades relacionadas con la continuidad de negocio y la disponibilidad;
  • las facultades de realización de auditorías por parte del supervisor y de la entidad, y
  • la realización de testeos sobre posibles escenarios y los niveles de seguridad implementados vinculados con ciberataques que puedan afectar la continuidad de los servicios prestados por la tercera parte.

Glosario de términos

Ciberresiliencia: capacidad de una organización para continuar funcionando con la menor cantidad de interrupciones frente a los Ciberataques. Es un enfoque de extremo a extremo, que reúne la seguridad de la información, la continuidad del negocio y la capacidad de recuperación de las redes de la empresa para garantizar que la organización sigue funcionando durante los ciberataques y las interrupciones cibernéticas.

Evento cibernético (Cyber event): Cualquier ocurrencia observable en un sistema de información. Los eventos cibernéticos a veces indican que se está produciendo un incidente cibernético.

Alerta cibernética (Cyber alert): Notificación de que se ha producido un incidente cibernético específico o ha sido dirigida una amenaza cibernética a los sistemas de información de una organización.

Incidente cibernético (Cyber incident): Un evento cibernético que, como resultado de una actividad maliciosa o no:
  - pone en peligro la seguridad cibernética de un sistema de información o la información que el sistema procesa, almacena o transmite; o
  - viola las políticas de seguridad, procedimientos de seguridad o políticas de uso aceptable.

Amenaza cibernética (Cyber threat): Una circunstancia con el potencial de explotar una o más vulnerabilidades que afecta negativamente a la seguridad cibernética.



Mayo, 2019. Versión inicial