Taller FMI-CEMLA-ASBA: Logrando la resiliencia cibernética en la era post-COVID en América Latina y el Caribe

El Centro de Estudios Monetarios Latinoamericanos (CEMLA), el Fondo Monetario Internacional (FMI) y la Asociación de Supervisores de Bancos de las Américas (ASBA) organizaron el “Taller FMI-CEMLA-ASBA: Logrando la resiliencia cibernética en la era post-COVID en América Latina y el Caribe”, para proporcionar un foro de discusión de temas clave para que los reguladores y el sector financiero puedan mejorar su resiliencia cibernética dentro del nuevo paradigma post-COVID.

 

Este taller conjunto tuvo como objetivo reunir a los bancos centrales y las autoridades de supervisión financiera, para discutir las preocupaciones y desafíos más relevantes en torno a la protección de la ciberseguridad en los sistemas financieros de América Latina y el Caribe, durante y después de la pandemia de COVID-19. La agenda incluyó los siguientes temas: 1) Descripción general del panorama de las amenazas cibernéticas y las posibles implicaciones para la estabilidad financiera; 2) Desarrollar una resiliencia y supervisión cibernética efectivas; 3) Enfoques para desarrollar la resiliencia cibernética del sector financiero, incluida la aplicación de la estrategia de seguridad de endpoint y 4) Facilitadores de la resiliencia cibernética: pruebas, ejercicios e intercambio de información

Al Taller asistieron más de 200 participantes, incluyendo personal senior y expertos en ciberseguridad y áreas relacionadas de los asociados del CEMLA y ASBA.

Sesión 1. Descripción general del panorama de las amenazas cibernéticas y las posibles implicaciones para la estabilidad financiera

En esta sesión se presentó el contexto y la evolución de la agenda de ciberseguridad para los bancos centrales y los organismos de supervisión financiera. Se subrayó que el sistema financiero depende de la infraestructura financiera digital y un ciberespacio, lo que conduce a un ecosistema financiero global complejo e interconectado. Esto ha resultado en una superficie de ataque más expandida. Se destacó que no es sorprendente que la presencia de datos y activos de alto valor en los sistemas financieros, junto con esta mayor superficie de ataque, haya dado lugar a un número creciente de incidentes y amenazas. En particular, el alto nivel de interconexión entre las instituciones financieras, los mercados y las infraestructuras de apoyo, y en particular las interdependencias de sus sistemas de TI, constituyen el principal desafío para una regulación y supervisión efectivas. En esta presentación, también se mostró cómo los incidentes cibernéticos importantes han mostrado la capacidad de ser generalizados, no necesariamente restringidos por fronteras geográficas. Además, los atacantes se vuelven cada vez más sofisticados, cuentan con muchos recursos y son muy persistentes, lo que hace que el sistema financiero y la economía sean aún más vulnerables a este tipo de interrupciones operativas.

Sesión 2. Desarrollar una efectiva resiliencia cibernética y supervisión eficaces

Durante esta sesión se presentaron los aspectos fundamentales para que los bancos centrales y las agencias de supervisión financiera respondan a la desafiante tarea de asegurar el perímetro del sistema financiero contra el ciberdelito sofisticado y sigiloso. En este sentido, se destacó que el banco central y las autoridades financieras tienen un mandato importante para la estabilidad financiera, sin embargo, actualmente se están adaptando a un entorno muy diferente, con un número creciente de complejidades y nuevas formas de riesgo que merecen una respuesta contundente en adelante. En este sentido, es necesario establecer o completar un marco de ciberseguridad que sea eficaz desde un punto de vista regulatorio y de supervisión. Más importante aún, la perspectiva macro de un banco central debe estar a la vanguardia en la atención a los ciberataques a escala nacional. Se destacó que este marco en evolución debe responder al estado actual de desarrollo del sistema financiero como una red operativa interconectada con múltiples nodos críticos. También debe prestar especial atención al valor de los datos y servicios que manejan las instituciones, los mercados y las infraestructuras y cuán críticos son dicha información y servicios para el sistema financiero y la economía en general.

Sesión 3. Enfoques para desarrollar la resiliencia cibernética del sector financiero

Durante esta sesión, un grupo de representantes sénior de Chile, Colombia, República Dominicana y México compartieron su experiencia al enfrentar los desafíos durante la pandemia de COVID-19. La discusión en esta sesión ayudó a conocer que actualmente los bancos centrales tienen que ir más allá para promover la conciencia y la acción contra el riesgo cibernético. Los bancos centrales deben tener un papel más activo. Se explicó que hay un cambio de paradigma en ciberseguridad ya que, ahora, no se limita a seguridad de redes, seguridad de sistemas de información y amenazas de ciberseguridad, sino que debe incluir el control de seguridad de la información, y al mismo tiempo, el cambio requiere que la estrategia se enfoque en el flujo de información.

En esta sesión, también se presentó como los bancos centrales y las autoridades financieras vienen realizando esfuerzos para abordar la ciberseguridad y el ciberdelito a través de regulación novedosa, programas de ciberseguridad y creación de mecanismos con el propósito de definir acciones inmediatas de prevención, detección de incidentes de ciberseguridad que afecten a las entidades de este tema.

La sesión concluyó con un importante debate sobre los desafíos pospandémicos y sus implicaciones para la resiliencia cibernética. Por ejemplo, en el regreso a una forma de trabajo presencial (o híbrida) en la que será crucial lograr un equilibrio entre seguridad y buen funcionamiento. En este proceso, seguirá siendo necesario un alto nivel de resiliencia cibernética para enfrentar con éxito cualquier amenaza cibernética que se aproxime.

Sesión 4. Facilitadores de la resiliencia cibernética: pruebas, ejercicios e intercambio de información

Esta última sesión ayudó a conocer la importancia de que los bancos centrales, las autoridades financieras y la industria cuenten con un buen entorno de cooperación y herramientas de apoyo para gestionar y mejorar sus prácticas sobre pruebas cibernéticas e intercambio de información. Esto incluye, pero no se limita a: mejorar la incorporación del riesgo cibernético en el análisis de estabilidad financiera; mejorar la coherencia de la regulación y la supervisión; mejorar la respuesta y la recuperación; fortalecer el intercambio de información; mejorar la capacidad de mitigar ciberataques; y fortalecimiento del desarrollo de capacidades. Estas características mínimas de un marco de resiliencia cibernética deben probarse rigurosamente para determinar su efectividad general antes de ser implementadas dentro de una institución financiera y de manera regular a partir de entonces. En efecto, los ejercicios de pruebas sólidos deben producir hallazgos que se utilicen para identificar brechas en los objetivos de resiliencia declarados y proporcionar aportes significativos al proceso de gestión del riesgo cibernético de la institución financiera.

Como cierre del taller, se subrayó la importancia de tener un diálogo continuo entre los bancos centrales y las autoridades financieras para hacer frente a los desafíos cambiantes de un sistema financiero cada vez más intensivo en tecnología.

 

Miércoles, 23 de junio de 2021

Bienvenida e Introducción

Palabras de bienvenida

Introducción al Taller

Marina Moretti, IMF

Sesión 1. Descripción general del panorama de las amenazas cibernéticas y las posibles implicaciones para la estabilidad financiera

Tamas Gaidosch, IMF

 

Sesión 2. Creación de regulación y supervisión cibernéticas efectivas

Rangachary Ravikumar, IMF

 

Sesión 3. Panel: Enfoques para desarrollar la ciber-resiliencia del sector financiero incluida la aplicación de la estrategia de seguridad endpoint

• Alejandro De Los Santos, Banco de México
• Luis Figueroa, Comisión del Mercado Financiero
• Miguel Ángel Villalobos, Superintendencia Financiera de Colombia
• Ruddy Simmons, Banco Central de la República Dominicana / James Pichardo, Superintendencia de Bancos

 

Sesión 4. Facilitadores de la ciber-resiliencia: pruebas, ejercicios e intercambio de información

Emran Islam, IMF

 

Tamas Gaidosch

Experto senior del sector financiero en el Departamento de Mercados Monetarios y de Capital del FMI, es un profesional de la seguridad cibernética con más de 20 años de experiencia, incluido el sondeo de los sistemas bancarios para encontrar debilidades cibernéticas. Anteriormente dirigió el Departamento de Supervisión de Tecnología de la Información en el Banco Central de Hungría.

Rangachary Ravikumar

Banquero central sénior experimentado - Experto en supervisión externa - Supervisor bancario experimentado - Examen de seguridad cibernética y TI en bancos - Análisis financiero - Gestión de riesgos. Experiencia en el establecimiento de sistemas analíticos y de supervisión Off-site, unidad de examen de Ciberseguridad y TI en el Banco Central e implementación de proyectos de TI. Más de tres décadas de experiencia multidisciplinar. Liderazgo probado.

Alejandro De Los Santos

Es Actuario de la Universidad Nacional Autónoma de México (UNAM), obtuvo un Doctorado en Matemática Aplicada de la Universidad de Toronto, en Canadá. Trabaja en el Banco de México desde 1995. Luego de trabajar 15 años en sistemas de pago, diseñando modelos de optimización y definiendo reglas y políticas para el sistema SPEI, Alejandro dirigió la Dirección de Sistemas donde, entre otras cosas, tuvo la responsabilidad de operar y administrar la infraestructura tecnológica del Banco, desarrollar aplicaciones y sistemas, así como la seguridad de la información del Banco de México. Desde 2018, Alejandro se encuentra a cargo de la Dirección de Ciberseguridad, donde su función principal es definir estrategias, políticas y lineamientos de seguridad de la información que mejorarán la madurez de la ciberseguridad y la resiliencia del Banco Central, y el sistema financiero.

Luis Figueroa de la Barra

Director General de Regulación Prudencial, tiene una Maestría en Economía de la Universidad de Nueva York en los Estados Unidos, y una Ingeniería Comercial, con mención en Economía, de la Universidad de Chile.

Se incorporó a la ex Superintendencia de Bancos e Instituciones Financieras (actual CMF) en 2014, como Intendente de Regulación y a partir de junio de 2019, como Intendente de Regulación de Bancos e Instituciones Financieras de la Comisión. En 2021, luego de inaugurada la nueva estructura organizativa de la Comisión, asumió como Director General de Regulación Prudencial. También es actualmente Presidente del Comité Técnico de la Asociación de Supervisores Bancarios de las Américas (ASBA), en representación de Chile.

Anteriormente dirigió la Oficina Reguladora de la Superintendencia de Pensiones y fue Jefe de la División Financiera de la misma institución. Ha sido Economista de la División de Política Financiera del Banco Central de Chile; del Departamento de Estudios de la Superintendencia de Valores y Seguros, y del Departamento de Inversiones del Ministerio de Planificación y Cooperación. Fue profesor de la Universidad de Chile y tiene varias publicaciones relacionadas con el mercado de capitales.

Miguel Ángel Villalobos

Superintendencia Financiera de Colombia, Superintendencia delegada de Riesgo Operacional y Ciberseguridad.

Ruddy Simmons

Director de Operaciones de Seguridad y Ciberseguridad, Gestión de Seguridad Operacional, Continuidad del Negocio de Infraestructura, Gestión de Identidad, SOC / Ciberseguridad.

James Pichardo

CISO - Superintendencia de Bancos, más de 15 años de experiencia en ciberseguridad y seguridad de la información. responsable de implementar el plan de acción de la estrategia nacional de ciberseguridad en la República Dominicana.

El Sr. Pichardo es Ingeniero en Electrónica y Comunicaciones con una maestría en Comercio Electrónico. Su carrera en ciberseguridad evolucionó a partir de los roles de ingeniería de redes y administración de sistemas que ocupaba anteriormente.

Hoy está enfocado en asegurarse que las organizaciones de todos los tamaños tengan un programa efectivo de ciberseguridad basado en riesgos y logren niveles de resiliencia realistas.

Tiene experiencia en múltiples sectores y verticales: telecomunicaciones, gobierno, academia, finanzas y entretenimiento. Tenía la responsabilidad de administrar el programa de seguridad de la información para una empresa FTSE 100 en el negocio de los juegos en línea. Esto le ha brindado una visión única de cómo funciona la seguridad de la información y le permite centrarse en enfoques pragmáticos y alcanzables para implementar programas de ciberseguridad.

Emran Islam

Se incorporó al FMI en 2020 como experto senior en el sector financiero en la División de Regulación y Supervisión Financiera. En su puesto anterior, Emran fue un experto senior en supervisión en el Banco Central Europeo (BCE) y el líder para desarrollar y poner en funcionamiento la estrategia de ciberresiliencia para la Unión Europea. Formó parte del equipo que desarrolló TIBER-EU, Cyber Resilience Oversight Expectations, estableció el Euro Cyber Resilience Board, desarrolló y puso en funcionamiento el ejercicio cibernético en todo el mercado (UNITAS) y desarrolló la Cyber Incident and Information Sharing Initiative (CIISI- UE). Emran ha estado involucrado en varios grupos cibernéticos internacionales, incluido el Grupo de Expertos Cibernéticos G7, el Grupo de Trabajo de CPMI para la seguridad de endpoints, el Grupo de Trabajo de Léxico Cibernético FSB, el Grupo de Trabajo Cibernético CPMI-IOSCO, el Grupo de Trabajo Cibernético Sistémico de la ESRB y el Banco Mundial FIGI. Antes de unirse al BCE en 2015, Emran trabajó en el Banco de Inglaterra durante 5 años, donde fue supervisor de FMI, además de liderar el trabajo cibernético para las FMI del Reino Unido (incluido el desarrollo de CBEST). Emran es Contador Público y anteriormente trabajó en Goldman Sachs, PwC, IBM y el gobierno central. Emran tiene una licenciatura y un MPhil de la Universidad de Oxford.

Raúl Morales Reséndiz

Es Gerente de Infraestructuras y Mercados Financieros desde 2013. En esta posición, es responsable de promover actividades de cooperación técnica entre los miembros de CEMLA, coordinar grupos de expertos, elaborar investigación y análisis de políticas, facilitar asistencia técnica y coordinar eventos para el fortalecimiento de capacidades. El señor Morales fue responsable del establecimiento de un grupo de expertos de banca central en fintech, dedicado a ayudar a los bancos centrales a comprender mejor las implicaciones de las nuevas tecnologías. Otras de sus responsabilidades incluyen la secretaría técnica de los grupos de expertos sobre operaciones de mercado, pago e infraestructuras de mercado, ciberseguridad, información financiera y regulación contable, así como representar al Centro en comités internacionales sobre pagos e inclusión financiera y sobre datos de fintech. El señor Morales asesoró a la Dirección General de CEMLA en asuntos internacionales entre 2013 a 2014 y en 2018. Ha sido invitado como conferencista en varios foros internacionales, incluidos los siguientes: Conferencia regional de SWIFT, conferencia regional del BCE sobre pagos minoristas, cumbre de seguridad cibernética, reunión anual de SUCRE, Consejo de Cooperación para los Estados Árabes del Golfo, reunión de la asamblea de WSBI y otros eventos públicos y privados organizados por los bancos centrales nacionales de la región.

Posee una licenciatura en Economía por la Universidad Nacional Autónoma de México (UNAM), una maestría en Economía y Políticas Públicas por el Instituto Tecnológico y de Estudios Superiores de Monterrey (ITESM) y un diplomado en políticas públicas y liderazgo por la Universidad de Georgetown.

Marcos Fabian Covarrubias

Jefe de investigación de la Asociación de Supervisores de Bancos de las Américas (ASBA). Gerente de grupos de trabajo y proyectos internacionales en materia de regulación y supervisión financiera en América Latina y el Caribe. El Sr. Covarrubias tiene experiencia en análisis económico y de políticas basado en datos, diseño e implementación de proyectos y relaciones internacionales. Becario del Instituto de Estabilidad Financiera del Banco de Pagos Internacionales (BPI) sobre políticas de transformación digital para el sector financiero.