Reunión Regional sobre Temas de Ciberseguridad
5 de febrero, Sesión remota
Por sugerencia del Banco Central de Reserva del Perú, CEMLA organizó la Reunión Regional sobre temas de Ciberseguridad con la participación del Comité de Pagos e Infraestructuras de Mercado (CPMI), el Banco Central Europeo y Banco de México. La reunión se realizó el 5 de febrero de 2019 con la asistencia de 23 instituciones.
Los mensajes claves que surgieron en las sesiones de la Reunión están resumidos a continuación:
El trabajo del CPMI sobre el riesgo de fraude de pagos de alto valor
Takeshi Shirakami, Secretaría del CPMI
El objetivo de la sesión fue informar sobre a) los desafíos clave relacionados con el fraude en pagos de alto valor y b) la descripción de la estrategia de CPMI desarrollada para abordar este tema.
Principales desafíos en relación con el fraude de pagos de alto valor:
- La importancia del concepto de endpoint como punto de partida para fortalecer la seguridad cibernética y abordar los riesgos relacionados.
- El banco central como un actor importante a nivel de usuario, revisor, operador, supervisor de sistemas de pagos, es importante para reducir el riesgo de fraude en los pagos de alto valor.
- La encuesta del CPMI evidenció que existen vacíos de conocimiento, inconsistencias en los enfoques y oportunidades importantes para reducir el riesgo de fraude de pagos de alto valor.
- La estrategia CPMI y su marco analítico, resalta cada etapa posible en torno al fraude: prevenir, detectar, responder y comunicación al respecto.
7 elementos de la estrategia CPMI:
- Identificación y comprensión del rango de riesgos
- Establecimiento de requisitos de seguridad para endpoints.
- Fomentar la adhesión.
- Provisión y uso de la información y herramientas para mejorar la prevención y detección.
- Respuesta de manera oportuna a fraudes potenciales.
- Apoyo a la educación continua, concientización e intercambio de información.
- Aprendizaje, evolución y coordinación de los enfoques para fortalecer la seguridad de los endpoints
Para concluir, el Sr. Takeshi proporcionó algunos ejemplos con respecto al funcionamiento de la estrategia, como a) promover el compromiso y la cooperación entre las partes relevantes interesadas y fomentar la responsabilidad de ello; b) establecer una asignación clara de tareas, responsabilidades y programa de acción; y c) apoyar la flexibilidad para determinar la mejor manera de operar la estrategia.
Finalmente, el tiempo de preguntas y respuestas permitió al Sr. Shirakami y al Sr. Holden (miembros de la Secretaría de la CPMI) profundizar en recomendaciones específicas de la estrategia. En ese sentido, una recomendación fue con respecto a la comunicación, señalando que mantener una lista de contactos actualizada es crucial durante un incidente y es la base para preparar una estrategia viable y efectiva. Además, se mencionó que en el futuro sería necesario desarrollar investigación adicional sobre la interconectividad entre los sistemas de pago para prevenir el fraude.
Operationalizing the CPMI strategy for reducing the risk of wholesale payments fraud related to endpoint security 
Takeshi Shirakami, CPMI
Resiliencia Cibernética para la infraestructura del mercado de Eurosistema
Francisco Tur Hartmann, BCE
El objetivo de esta sesión fue revisar el marco de trabajo del Eurosistema enfocado en la resiliencia cibernética de las infraestructuras de los mercados financieros (FMI).
El Eurosistema ha desarrollado y adoptado estrategias y mejores prácticas con el objetivo de mejorar la resiliencia cibernética. El Plan de acción sobre Resiliencia Cibernética (APCR), establecido en 2017, tiene como objetivo mejorar las capacidades del Eurosistema en lo que respecta a la detección, prevención, respuesta y recuperación contra ataques cibernéticos. Del mismo modo, existe un modelo de defensa que involucra 3 líneas de defensa, la primera dentro de la operación de TARGET Services, la segunda dentro de la Coordinación de Riesgo de Infraestructura de Mercado (MIRCo, por sus siglas en inglés) y la tercera en el Comité de Auditoría Interna del Eurosistema. Además, para el APCR y el modelo de defensa, el Eurosistema sigue la Guía de CPMI-IOSCO sobre la resistencia cibernética para las FMI y los complementa con las llamadas Expectativas de Vigilancia de la Ciberseguridad del Eurosistema (CROE). Del mismo modo, hay otras lineas de trabajo relacionadas y esfuerzos de colaboración que se suman a los mencionados anteriormente, como la Guía de Conectividad de Infraestructura de Mercado del Eurosistema, el Marco de Pruebas de Red de Equipos Éticos (TIBER-UE, por sus siglas en inglés) basado en Inteligencia de Amenazas de la Unión Europea.
En este contexto, el APCR informa sobre las mejoras de resistencia cibernética en las siguientes áreas: a) servicios de seguridad, b) pruebas de seguridad, c) recuperación de datos, d) instalaciones no similares, e) integridad del software, f) mayor conciencia de seguridad, g) Intercambio de información e inteligencia cibernética.
Finalmente, el sr. Tur destacó el papel de APCR como catalizador; lo importante que las FMI ganen confianza entre ellas y con las autoridades pertinentes; y el concepto de flexibilidad en relación con el modelo de resistencia cibernética.
TARGET services: Strategy to respond to Cyber threats and information security risks
Francisco Tur Hartmann, ECB
La estrategia de México para desarrollar la ciberseguridad
Alejandro De los Santos, Banco de México
La presentación tuvo como objetivo describir la actual estrategia de ciberseguridad en el Banco de México.
Actualmente, los bancos centrales tienen que ir más allá de su propio perímetro, con el fin de promover el conocimiento y la acción contra el riesgo cibernético. Los bancos centrales deben tener un papel más activo. Bajo tales premisas, el Sr. De los Santos explicó el cambio en el paradigma de la seguridad cibernética en el Banco de México, ya que ahora no está limitado a la seguridad de las redes, la seguridad del sistema de información y las amenazas de seguridad cibernética, sino que deben incluirse el control de la seguridad de la información, y este concepto incluye lo siguiente: a) gobernanza, b) políticas, c) procedimientos para incidentes (prevención, detección, respuesta y recuperación), d) concientización y e) colaboración. Al mismo tiempo, el cambio requiere que la estrategia se enfoque en el flujo de información.
En este contexto, los pilares regulatorios en la regulación mexicana son: a) control de seguridad de la información (se destacó que la decisión sobre qué conjunto de estándares elegir no es tan importante como la decisión de usar alguno de ellos); b) gobierno corporativo (es necesario identificar y responsabilizar a una persona que tenga la autoridad y la visión para influir en la organización, implementar la estrategia de seguridad cibernética y equilibrar las prioridades operativas y de seguridad. En México se ha establecido que cada entidad con acceso a sistemas de pago de alto valor debe tener un Director de Seguridad de la Información, CSO, por sus siglas en inglés); y c) Grupos de respuesta de seguridad cibernética (se recomienda establecer una coordinación intergubernamental para definir protocolos de prevención y respuesta).
Developments in the Bank of Mexico’s cybersecurity strategy
Alejandro De Los Santos, Banco de Mexico
Introductory remarks
Raúl Morales, CEMLA and Milton Vega, Banco Central de Reserva del Peru
Operationalizing the CPMI strategy for reducing the risk of wholesale payments fraud related to endpoint security
Takeshi Shirakami, CPMI
TARGET services: Strategy to respond to Cyber threats and information security risks Francisco
Tur Hartmann, ECB
Developments in the Bank of Mexico’s cybersecurity strategy
Alejandro De Los Santos, Banco de Mexico
Main findings and closing remarks
Raúl Morales, CEMLA Milton Vega, Banco Central de Reserva del Peru
In early 2017, CEMLA launched the Forum on Cyber Security (FOCOSC) with the aim of promoting the exchange of experiences, practices and relevant information related to cyber risk management in central banking.
The FOCOSC is made of 17 Latin American and Caribbean Central Banks: Argentina, Bolivia, Chile, Colombia, Costa Rica, Curacao and San Martin, Dominican Republic, Ecuador, El Salvador, Guatemala, Honduras, Mexico, Nicaragua, Paraguay, Peru, Uruguay and Venezuela. The central banks of France and Spain participate in the Forum’s activities as observers and CEMLA hosts the Secretariat of the Forum.
Takeshi Shirakami
Deputy Head of the Committee on Payments and Market Infrastructures Secretariat, BIS Takeshi has been Deputy Head of the Secretariat since June 2016. Before joining the BIS, he served as chief representative in Frankfurt of the Bank of Japan (BOJ) from 2014 until 2016.
He joined the BOJ in 1993. At the BOJ he spent many years with FMI policy and oversight of domestic and international FMIs and represented the BOJ at international committees, working groups and cross-border oversight arrangements.
He also led a supervisory team for Japanese major banks and broker dealers and represented the BOJ at colleges/CMGs and FSB working groups.
Earlier in his career he was a junior representative at the BOJ Frankfurt office (2000-2003) as well as a member of the CPSS Secretariat at the BIS (2008-2010). He studied law at Kyoto University and economics at the University of Göttingen.
Francisco Tur Hartmann
Francisco joined the European Monetary Institute, the forerunner of the European Central Bank, in May 1995. He participated in the development of the TARGET system (the Real Time Gross Settlement system for the euro).
From 2005 to 2017 he was Deputy Head of Division in the Market Integration area of the Directorate General Market Infrastructure and Payments. Francisco was involved in policy work aiming for further harmonisation and integration of payments at European and global level, including clearing and settlement.
Francisco is currently Head of Division at the Market Infrastructure Support Division dealing with project management, cyber resilience, system acceptance testing, financial matters and communication. He holds a master's degree in computer science from Universidad Autonoma de Barcelona (Spain)."