Available in
English
Taller sobre Ciberseguridad
13 de octubre de 2022
Formato Digital
En un panorama económico y financiero que ha cambiado significativamente debido a la transformación digital que desencadenó la pandemia de COVID-19, el sector financiero y los reguladores enfrentan desafíos complejos para garantizar un alto nivel de resiliencia cibernética frente a los ataques. Por lo tanto, este taller discutirá temas clave que apoyan a los reguladores con el análisis del sector financiero para mejorar la resiliencia cibernética dentro del nuevo paradigma.
El curso contó con las palabras de bienvenida del Gerardo Hernández del Valle y Caio Fonseca Ferreira, quienes hicieron mención a los avances tecnológicos y a como estos nos obligan a adoptar nuevas medidas de seguridad para poder aprovechar los beneficios que nos ofrecen.
La primera presentación del día fue dada por Tamas Gaidosch, Experto en Ciber Seguridad en el FMI, quien habló acerca del panorama general de las ciber-amenazas. Comenzó mencionando la Guerra de Ucrania, donde hubo ciber-ataques contra las dos instituciones financieras más grandes de dicho país. Las direcciones IP de estas instituciones fueron secuestradas (por medio de un secuestro de BGP), pero debido a medidas previas – más específicamente una campaña de información – los usuarios estuvieron a salvo.
Después mencionó el ejemplo de la vulnerabilidad del módulo LOG4J de Apache, en la cual los atacantes engañan a un servicio web y después ejecutan código malicioso para crear una puerta trasera (backdoor) o directamente robar información de los usuarios, una situación en la que incluso la Casa Blanca estuvo involucrada.
Tamas nombró 4 vectores de ataque predominantes: Credenciales, Phishing, Explotación de vulnerabilidades y Botnet. Los incidentes ocurren por tres factores claves: Vulnerabilidades, Atacantes y Vectores de ataque.
Por último, mencionó que en los últimos años ha habido un fuerte aumento en las vulnerabilidades, dada una combinación de factores tales como la rentabilidad de los incidentes, complejidad de los sistemas, etc. En un caso regional se pudo ver que la mayor causa de ocurrencia de incidentes es por error humano, seguido por los que tienen poca regulación en los procesos y después los que ocurren por avances en la tecnología.
La segunda sesión estuvo a cargo de Alejandro De Los Santos, Director de Ciberseguridad en Banco de México, y Fernando Romero, Director de Estándares de Seguridad de la Información en Entidades en el Banco Central de Argentina.
El primer expositor dio un breve resumen de la creación de la DCiber (Dirección de Ciberseguridad) de Banxico. Dicha dirección busca afrontar los problemas de ciberseguridad con un enfoque holístico, que vaya más allá de centrarse en las características tecnológicas.
Hay dos grandes roles para DCiber: como autoridad reguladora y como autoridad promotora. En su rol como regulador hay 4 puntos importantes: controles de ciberseguridad, redes de telecomunicaciones, cuentas y contraseñas y, por último, incidentes de ciberseguridad. Como promotora, busca actualizar estrategias, aumentar el apego a mejores prácticas y estándares internacionales y promover acuerdos de colaboración entre autoridades.
Posteriormente, Fernando Romero comenzó su charla con el contexto normativo sobre ciberseguridad en Argentina, prestando especial atención al proceso de gestión de seguridad en canales electrónicos. Respecto a esto deben llevarse a cabo varias acciones: concientizar y capacitar, mejorar el control de acceso, integridad y registro, monitoreo y control y gestión de incidentes.
Mostró que los lineamientos de ciberseguridad (abril 2020) dan un marco de referencia, pero que deben ser actualizados continuamente. Hizo hincapié en que las gestiones de seguridad de la información tenían una mirada operativa, que nació desde el gobierno, por lo que las estrategias deben orientarse también para protegerse de ciberataques.
Entre las medidas normativas recientes para mitigar fraudes en créditos preaprobados, se encuentra realizar una verificación fehaciente de los usuarios y también revisar los puntos de contacto establecidos con el cliente y si se habían realizado cambios recientes a estos. También se obligó a los PSP (proveedores de servicios de pago) a que cumplan ciertos recaudos como la verificación de identidad, asociación de cuentas o instrumentos que le pertenecen y tener una autenticación fuerte. A futuro, se busca implementar un consentimiento (con vigencia) para la incorporación de cuentas a billeteras digitales.
Entre los desafíos a futuro se encuentran la adopción de un marco de ciberseguridad, establecer terminología entendible para diversos participantes, mejorar aspectos de capacitación y concientización y que se comprenda el beneficio de compartir información.
La tercera sesión estuvo a cargo de Rangachary Ravikumar, Experto Senior en el Sector Financiero en el FMI, quien inició mencionando la importancia de reconocer el aumento en la adopción de ICT (tecnologías de la información y la comunicación) en todos los aspectos de la vida, los desarrollos en tecnología e interconexiones, y sus dependencias. Dijo, “Queremos segar los beneficios, pero también manejar los retos y riesgos que implican, por eso una estrategia nacional de ciberseguridad integral es necesaria.” Luego mencionó las fases de desarrollo de una estrategia de ciberseguridad nacional.
Después, mostró los avances en el desarrollo de estrategias en países latinoamericanos al 2020, siendo Ecuador, Perú, Guyana, Surinam, Barbados y Belice los que se encuentran desarrollando una, mientras que Trinidad y Tobago y Panamá fueron los primeros en desarrollar una (2013).
Posteriormente, presentó los elementos básicos para proponer una estrategia nacional para el sector financiero y mostró dos casos de éxito: Estados Unidos y Canadá. Por último, en una encuesta que tomó en cuenta a 55 países, 34.5% de ellos dijeron que el banco central no tiene una ciber-estrategia para el sector financiero, y 25.5% dijeron que no tienen una pero que está en desarrollo.
En la cuarta sesión Emran Islam, Experto Senior en el Sector Financiero en el FMI, comenzó mostrando los distintos dipo de herramientas que están utilizando las economías avanzadas, dado que la supervisión y regulación no son suficientes.
Una herramienta muy importante es compartir información. Es clave motivar a las instituciones financieras a compartir información e inteligencia, pues esto ayuda a crear conciencia de los riesgos que tienen las ICT, minimizar su proliferación, y apoyar las capacidades defensivas de las instituciones financieras. Después, el expositor presentó ejemplos de cómo los protocolos mencionados anteriormente funcionan en Europa.
Otro punto crucial es la conducción de un amplio rango de pruebas de ciber-resiliencia, tales como “red teaming”, examen de penetración y simulacro de gestión de crisis. Presentó un ejemplo, UNITAS, donde algunos bancos centrales e infraestructuras del mercado financiero de Europa simularon el escenario de un ciber-ataque, observaron reacciones, obtuvieron conclusiones, y dieron recomendaciones. Hay varios marcos establecidos para estas pruebas, como TIBER, CBEST y CORIE.
Por último, recalcó que la coordinación es necesaria. Debe haber seguridad de que las agencias y los participantes del sector financiero sean motivados a coordinar actividades, y se recomendó establecer un mando colectivo.
Gerardo Hernández-del-Valle
Director en funciones de la
Dirección de Infraestructuras de
los Mercados Financieros
Centro de Estudios
Monetarios Latinoamericanos
(CEMLA)
Gerardo Hernández del Valle es el Director Interino de la Dirección de Infraestructuras de los Mercados Financieros en el CEMLA. Es Ingeniero Eléctrico de la Universidad del Tepeyac. De la Universidad de Columbia, Nueva York, tiene una maestría en estadística, una maestría en probabilidad y estadística, y un doctorado en probabilidad y estadística. Sus intereses de investigación se centran en: Matemáticas Financieras, Ecuación de Calor, Econometría, Variable Compleja, Ecuaciones Diferenciales Estocásticas.
Caio Fonseca Ferreira
Jefe Adjunto de la División de Supervisión y Regulación Financiera del Departamento de Mercados Monetarios y de Capitales Fondo Monetario Internacional (FMI)
El Sr. Caio Ferreira es el Jefe Adjunto de la División de Supervisión y Regulación Financiera del Departamento de Mercados Monetarios y de Capitales. Desde que se incorporó al FMI en 2015, ha participado activamente en la labor de formulación de políticas, diagnóstico y fortalecimiento de capacidades en varios países de todo el mundo. Tiene más de 25 años de experiencia en varios aspectos de la estabilidad financiera, incluido el marco internacional para la regulación y supervisión financiera y el análisis de riesgo sistémico. Actualmente coordina trabajos para fortalecer la ciberseguridad del sector financiero e incorporar los riesgos climáticos en el marco prudencial. Ha participado activamente en varios foros internacionales de supervisión y regulación y es ex miembro del Comité de Supervisión Bancaria de Basilea. Antes de incorporarse al FMI, fue Director del Departamento de Regulación Prudencial y Cambiaria del Banco Central de Brasil. Tiene un doctorado en Economía y un M.Sc. en Finanzas de la Universidad de Sao Paulo.
Tamas Gaidosch
Experto Senior del Sector Financiero en la División de Regulación y Supervisión Financiera Fondo Monetario Internacional (FMI)
Tamas Gaidosch se incorporó al FMI en 2017 como experto superior del sector financiero en la División de Regulación y Supervisión Financieras. Sus responsabilidades incluyen el diseño y la implementación del programa mundial de Asistencia Técnica sobre Riesgos Cibernéticos del FMI para las autoridades reguladoras y supervisoras del sector financiero, la participación en la supervisión del sector financiero, la elaboración de recomendaciones de políticas y la representación del FMI en cuestiones de ciberseguridad en organismos internacionales de normalización. Antes de unirse al FMI, Tamas estuvo a cargo de la supervisión de TI en el Banco Central de Hungría (2015-2017), donde dirigió el trabajo de desarrollo de políticas y garantía de cumplimiento con respecto a TI y ciberseguridad en el sector financiero del país, incluidas las industrias bancarias, de seguros y de valores. Antes de ese puesto, Tamas fue socio de Deloitte (2013-2014) y estuvo a cargo de los Servicios de Riesgo Empresarial de la firma en Europa Central. Anteriormente trabajó en KPMG (1999-2013) en varios puestos gerenciales y de liderazgo de consultoría de riesgos, finalmente como Jefe de Consultoría de Riesgos en Hungría. Tamas comenzó su carrera en IBM (1994-1999) como arquitecto de sistemas centrado en soluciones de banca electrónica y seguridad para el sector financiero. Tiene una maestría en Ciencias de la Computación, es un MBA Ejecutivo (Ecole des Ponts ParisTech), un Auditor Certificado de Sistemas de Información (CISA), un Gerente Certificado de Seguridad de la Información (CISM) y un Profesional Certificado de Seguridad de la Información (CISSP). Es coautor de dos libros sobre tecnologías de redes y sus aspectos de seguridad y contribuyó al desarrollo del Manual de Revisión CISM de ISACA.
Alejandro de los Santos Santos
Director de Ciberseguridad y CISO Banco de México
Alejandro es actualmente el Director de Ciberseguridad del Banco de México. Entre sus responsabilidades desarrolla políticas, lineamientos y estrategias para mantener y reforzar la seguridad de la información y la ciber resiliencia tanto para el Banco Central como para el Sistema Financiero Mexicano; actuando como CISO del Banco de México, Alejandro ingreso al Departamento del Sistema de Pagos del Banco de México en 1995 y formo parte del grupo que diseño e implemento SPEI, el Sistema Mexicano de Transferencias Electrónicas en Tiempo Real; también participó en el rediseño del Sistema de Liquidación de Valores administrado por el Depósito Central de Valores en México (Indeval) y fue jefe de la Unidad de Política y Supervisión del Sistema de Pagos entre 2012 y abril de 2018, fue Director de TI del Banco de México donde estuvo a cargo de la administración y operación de la Infraestructura de TI incluidos los centros de datos y las redes de telecomunicaciones, estuvo a cargo del desarrollo de aplicaciones empresariales y también fue responsable de las herramientas de seguridad y protección informática del Banco Central de México.
Rubén Fernando Romero
Jefe de Normas de Seguridad de la Información en Entidades Fondo Monetario Internacional (FMI)
Rubén Fernando Romero es Ingeniero en Sistemas de la Información egresado de la Universidad Tecnológica Nacional Regional Córdoba. Cuenta con un posgrado en e-commerce de la Universidad de Palermo (UP).
Se desempeña como jefe de Normas de Seguridad de la Información en Entidades en el Banco Central de la República Argentina (BCRA). Ingreso a la Institución en el año 1998 como pasante en el programa de formación de auditores de sistemas, y a partir de entonces viene realizando diferentes actividades vinculadas con la seguridad de la información.
Participó en diferentes iniciativas relacionadas con la ciberseguridad y tecnología promovidas por el grupo CGIDE (The Consultative Group on Innovation and the Digital Economy) del BIS (Bank For International Settlements). En los últimos años participó exponiendo en temas relacionados con la seguridad de la información en diferentes eventos organizados por CEMLA, FORUM, IAIA, entre otros.
Rangachary Ravikumar
Experto Senior del Sector Financiero Banco Central de la República Argentina (BCRA)
Rangachary Ravikumar, experto senior del sector financiero, se unió al equipo cibernético de la división de regulación y supervisión financiera del Departamento de Mercados Monetarios y de Capital en octubre de 2020. Antes de unirse al Fondo, Ravikumar trabajó en el Banco de la Reserva de la India como Director General, donde fue responsable de establecer y poner en funcionamiento el Grupo de Examen de TI y Seguridad Cibernética. Durante su mandato, estableció un marco de seguridad cibernética, un marco de informes de incidentes cibernéticos y un marco de indicadores de riesgo clave para evaluar la seguridad cibernética. Fue miembro del Grupo de Trabajo de Léxico Cibernético, así como del Grupo de Trabajo de Respuesta y Recuperación de Incidentes Cibernéticos establecido por FSB. Durante su larga carrera, estuvo involucrado en la creación de un sistema de supervisión fuera del sitio, implementando la supervisión basada en el riesgo y trabajando como miembro de la regulación y supervisión docente de la facultad durante más de cinco años en el Colegio de Personal del Banco de la Reserva. También trabajó en el Banco Central de Omán como experto en funciones de supervisión / regulación durante más de cinco años.
Ha realizado misiones de asistencia técnica sobre riesgo cibernético para muchos países. También ha impartido cursos de supervisión de riesgos cibernéticos.
Ravikumar tiene un MBA y es CFA, FRM y CISA. También asistió al Programa Ejecutivo Senior en London Business School (2003) y al Programa de Gestión Avanzada en Columbia Business School (2019).
Emram Islam
Experto Senior del Sector Financiero en la División de Regulación y Supervisión Financiera Fondo Monetario Internacional (FMI)
Emran se incorporó al FMI en 2020 como experto superior del sector financiero en la División de Regulación y Supervisión Financieras. En su cargo anterior, Emran fue experto sénior en supervisión en el Banco Central Europeo (BCE) y el líder del desarrollo y la puesta en marcha de la estrategia de ciber resiliencia para la Unión Europea. Formó parte del equipo que desarrolló TIBER-EU, las Expectativas de Supervisión de la Resiliencia Cibernética, estableció la Junta de Resiliencia Cibernética Euro, desarrolló y puso en funcionamiento el ejercicio cibernético de todo el mercado (UNITAS) y desarrolló la Iniciativa de Intercambio de Información e Incidentes Cibernéticos (CIISI-EU). Emran ha participado en varios grupos cibernéticos internacionales, incluido el Grupo de Expertos Cibernéticos del G7, el Grupo de Trabajo CPMI para la seguridad de endpoints, el Grupo de Trabajo de Léxico Cibernético del FSB, el Grupo de Trabajo Cibernético CPMI-IOSCO, el Grupo de Trabajo Cibernético Sistémico de ESRB y el FIGI del Banco Mundial. Antes de incorporarse al BCE en 2015, Emran trabajó en el Banco de Inglaterra durante 5 años, donde fue supervisor de FMI, además de dirigir el trabajo cibernético para las FMI del Reino Unido (incluido el desarrollo de CBEST). Emran es contador público y anteriormente trabajó en Goldman Sachs, PwC, IBM y el gobierno central. Emran tiene una licenciatura y MPhil de la Universidad de Oxford.