El CEMLA y el FSI organizan eventos regionales de capacitación y discusión de políticas sobre estabilidad financiera para los bancos centrales de América Latina y el Caribe. Las reuniones de discusión de políticas están dirigidas a personal sénior para intercambiar experiencias y puntos de vista sobre cuestiones clave para la estabilidad financiera.

El CEMLA y el Centro de Estudios Monetarios Latinoamericanos (CEMLA), en conjunto con la Asociación de Supervisores Bancarios de las Américas (ASBA) y el Instituto de Estabilidad Financiera (FSI) del Banco de Pagos Internacionales, organizaron la Reunión sobre Ciberseguridad el 3 y 4 de noviembre de 2020.

A la Reunión (digital) asistieron más de 70 participantes en representación de 32 bancos centrales y agencias de supervisión financiera de América Latina y el Caribe.

El objetivo de esta reunión fue actualizar a la comunidad regional sobre las prácticas recientes y los desarrollos de políticas en seguridad cibernética, particularmente en las áreas de pruebas de resiliencia cibernética, respuesta y recuperación de incidentes cibernéticos.

Sesión 1. Pruebas de resiliencia cibernética
Esta sesión se centró en discutir los desarrollos en ejercicios de cyber testing, en particular de ejercicios de tabletop, de identificación de rangos de riesgos y del hacking ético, y su importancia para desarrollar la capacidad de la banca central y en las agencias de supervisión financiera y así mejorar su marco de pruebas de resiliencia cibernética.

Se discutió ampliamente que, para probar la efectividad de un marco de seguridad cibernética, las autoridades y otras partes interesadas clave en el sistema financiero deberían llevar a cabo una amplia gama de ejercicios de prueba basados en objetivos específicos. Esto permitiría a los bancos centrales y a las agencias de supervisión identificar en detalle debilidades en una amplia gama de puntos de riesgo.

Además, se subrayó que la preparación es una pieza central en la resiliencia cibernética. La importancia crítica de ciertos servicios e infraestructuras en el sistema financiero hace que sea extremadamente importante recurrir a pruebas diseñadas con profundidad y severidad para evaluar qué tan bien preparados están los participantes, las autoridades y otras terceras relevantes para el sistema financiero, para enfrentar ataques cibernéticos más sigilosos y agresivos.

Se concluyó que es de suma relevancia identificar la gama de objetivos, ejercicios y recursos, coordinando y comunicando de manera efectiva, para mejorar las prácticas de cyber testing.

Sesión 2. Respuesta y recuperación a incidentes cibernéticos
Esta segunda sesión de la reunión se dedicó a intercambiar puntos de vista sobre aspectos de respuesta y recuperación ante incidentes cibernéticos. Específicamente, se presentaron enfoques a nivel país y lineamientos internacionales relacionadas con el desarrollo de un marco de resiliencia cibernética mediante el despliegue de medidas de respuesta y recuperación bajo el liderazgo de los bancos centrales y las agencias de supervisión financiera.

Se mencionó que el intercambio de información, la mitigación de consecuencias y la restauración de funciones son algunas de las capacidades más relevantes que deben desarrollarse para lograr una adecuada respuesta y recuperación ante incidentes cibernéticos. Al mismo tiempo, también se reconoció la importancia de ser cada vez más resilientes para respaldar los objetivos de estabilidad financiera en caso de incidentes cibernéticos.

Se discutió que responder a los incidentes cibernéticos requiere un marco que aborde la clasificación de incidentes, la escala de riesgo de ataques, y las estrategias de coordinación y comunicación. Se concluyó que es importante que la detección y las pruebas se conviertan en aspectos fundamentales del marco de seguridad cibernética y de los propios controles de seguridad de cada entidad financiera. Asimismo, se subrayó que todo lo anterior es de especial relevancia para las infraestructuras financieras de importancia sistémica.

Conclusiones
Los organizadores concluyeron que la reunión superó los objetivos establecidos y permitió a los bancos centrales y las agencias de supervisión financiera de la región aumentar su conciencia sobre el papel de la coordinación entre las autoridades, y sobre la necesidad de más acciones para lograr un marco sólido de resiliencia cibernética, a nivel nacional e internacional.

 

Martes 3 de noviembre

 

Pruebas de resiliencia cibernética

Bienvenida e introducción

- Pascual O’Dogherty, ASBA

- Raul Morales, CEMLA

- Jermy Prenio, FSI, BIS

 

Presentación de ponentes

- Sameh Mekhail, BIS (experiencia con ejercicios de rango cibernético)

- Mara Misto, Banco Central de la República Argentina (ejercicios de ciberresiliencia en Argentina)

- Wiebe Ruttenberg, ECB (realizar una prueba eficaz del equipo rojo)

Preguntas y respuestas

 

Miércoles 4 de noviembre

 

Respuesta y recuperación a incidentes cibernéticos

Bienvenida e introducción

- Pascual O’Dogherty, ASBA

- Raul Morales, CEMLA

- Jermy Prenio, FSI, BIS

 

Presentación de ponentes

- Joshsua James González Díaz, SFC Colombia (expectativas y prácticas de supervisión en Colombia)

- Martin Boer, IIF (descripción general de las prácticas CIRR de bancos globales)

- Yasushi Shiina, FSB (elementos principales de la consulta CIRR)

Preguntas y respuestas

 

Sameh Mekhail, Bank for International Settlements
Sameh es un profesional senior de seguridad en el Centro de Coordinación de Resiliencia Cibernética (CRCC) en el Banco de Pagos Internacionales (BIS). Es responsable de los ejercicios de rango cibernético personalizados del BIS CRCC, así como de realizar actividades de divulgación para la comunidad de banca central. También lidera el equipo de análisis cibernético avanzado que desarrolla técnicas de detección avanzadas utilizando aprendizaje automático e inteligencia artificial y actúa como analista de seguridad cibernética de nivel 3.

Sameh tiene certificación CISSP y CISA, tiene una licenciatura en Ciencias de la Computación y un MBA en Estrategia Corporativa de la Universidad de Strathclyde

 

Mara I. Misto Macías, Banco Central de la República Argentina
Mara Misto Macías se desempeña como Gerente senior de estándares de seguridad de la información para instituciones financieras en el Banco Central de la República Argentina (BCRA), desde 2018. Entre sus funciones se encuentran la emisión de regulación en tecnologías de la información y seguridad de la información por parte del BCRA, coordinación de ejercicios de simulación de crisis y su impacto en la estabilidad financiera. Previamente ocupó los cargos de CISO en el Banco Central de Argentina, al que se incorporó en 2005.

Mara Misto Macías tiene un título académico en Ciencias de la Computación y un posgrado en Desarrollo Gerencial de la Universidad de Buenos Aires (UBA). Además, se graduó en Seguridad de la Información y Criptografía por el Instituto de Enseñanza Superior del Ejército (IESE).

Mara Misto es profesor de Gestión Estratégica en Seguridad de la Información I en el programa de postgrado en Seguridad de la Información de la Universidad de Buenos Aires y profesor de Gestión y estrategia de Ciberseguridad en la Universidad del CEMA.

 

Wiebe Ruttenberg, Dirección General de Infraestructura de Mercados y Pagos, Banco Central Europeo
Wiebe Ruttenberg comenzó su carrera en 1994 como asesor de políticas del Ministro de Finanzas de los Países Bajos en materia de energía, telecomunicaciones e infraestructura.

En 1999 se incorporó a De Nederlandsche Bank (DNB) para convertirse en Secretario del Proyecto Nacional de Cambio al Euro 2002. Después de la finalización del cambio al euro, se convirtió en Jefe del Departamento de Política de Pagos en el DNB.

Desde 2006 hasta 2015, Wiebe Ruttenberg fue Jefe de la División de Integración de Mercados en el Banco Central Europeo, impulsando cuestiones de política desde una perspectiva de integración e innovación en pagos, valores y garantías. La creación de la Zona Única de Pagos en Euros (SEPA) estaba bajo su responsabilidad. También fue miembro del Comité de Infraestructura de Mercado y Pagos del Sistema Europeo de Bancos Centrales (SEBC), presidió su Grupo de Trabajo de Política de Sistemas de Pago y dirigió la Secretaría de la Junta de Pagos Minoristas en Euros.

Actualmente ocupa el cargo de Senior Adviser, enfocándose en innovación tecnológica y ciberresiliencia dentro del sector financiero. Preside el grupo de trabajo del SEBC sobre la estrategia de ciberresiliencia para las infraestructuras de los mercados financieros, gestiona la secretaría del Euro Cyber Resilience Board y es miembro del European Systemic Cyber Group del European Systemic Risk Board. El programa europeo de pruebas cibernéticas TIBER-EU y la Iniciativa europea de intercambio de información e inteligencia cibernética (CIISI-EU) están bajo su responsabilidad.

 

Joshsua Gonzalez, Superintendencia Financiera de Colombia
Joshsua González Díaz es asesor desde 2017 del Departamento de Riesgo Operacional y Ciberseguridad de la Superintendencia Financiera de Colombia - SFC -. Su trabajo está relacionado con la evaluación y diagnóstico en ciberseguridad y continuidad empresarial de las entidades. También participa en el desarrollo de estándares y circulares relacionados con estos aspectos. Adicionalmente, se desempeña como profesor investigador en diferentes universidades de Colombia como la Universidad de los Andes, Universidad Javeriana y Universidad Externado de Colombia, e internacionales como la Universidad Nacional de Asunción.

Joshsua es Ingeniero en Sistemas de la Pontificia Universidad Javeriana, tiene dos maestrías diferentes, una en Seguridad de la Información de la Universidad de Los Andes y la otra en Derecho Informático de la Universidad Externado de Colombia.

 

Martin Boer, Institute of International Finance (IIF)
Martin Boer es el Director de Asuntos Regulatorios del IIF. Contribuye al trabajo de IIF sobre consistencia regulatoria, evaluación de impacto, capital prudencial y estándares de liquidez, regulación de seguros y el área creciente de asuntos regulatorios no bancarios y no aseguradores. También es el líder de IIF en temas relacionados con la seguridad cibernética, incluidos los desarrollos regulatorios y el impacto en las instituciones financieras y la estabilidad financiera general.

El Sr. Boer se desempeñó anteriormente como Secretario General de la Mesa Redonda de Servicios Financieros Europeos, una organización de la industria con sede en Bruselas que comprende a los directores generales y presidentes de los 22 principales bancos y compañías de seguros de Europa. Antes de eso, ocupó varios puestos en ING Group, como director global de relaciones públicas en Ámsterdam y director sénior de asuntos públicos y gubernamentales en Bruselas. También ha trabajado como consultor para el PNUD en Namibia y como periodista en The Financial Times y Bloomberg News. El Sr. Boer tiene un bachillerato en Filosofía de la Universidad de California, Santa Bárbara y una Maestría en Economía Política Internacional de la Universidad de Columbia en Nueva York.

 

Yasushi Shiina, Financial Stability Board
Yasushi Shiina es miembro del Secretariado del FSB desde agosto de 2010. Ha estado apoyando el trabajo sobre cooperación regulatoria y de supervisión, intermediación financiera no bancaria y resiliencia cibernética en el FSB. Antes de unirse a la Secretaría del FSB, fue director de regulaciones bancarias internacionales en la Agencia de Servicios Financieros de Japón (JFSA) y fue el representante de la JFSA en los grupos de trabajo clave del Comité de Supervisión Bancaria de Basilea (BCBS). También ha presidido el trabajo del BCBS sobre calificaciones y titulización, así como el Pilar 3 (divulgación pública). En la JFSA, también ha estado involucrado en la supervisión de instituciones financieras y se desempeñó como representante de la JFSA en el Grupo de Supervisores Senior. Antes de unirse a la JFSA en 2002, trabajó como miembro del personal de políticas en el Banco de Japón y como consultor en Boston Consulting Group.

El Sr. Shiina recibió títulos de la London School of Economics y de la Universidad Keio en Tokio. También recibió Maestría en Derecho de la Universidad de Keio, MBA de INSEAD y MSc. en finanzas de London Business School.

 

- FSI

- FSB