Los incidentes cibernéticos siguen siendo una amenaza para el sistema financiero y están creciendo rápidamente en frecuencia y sofisticación. A la luz de las crecientes preocupaciones sobre la estabilidad financiera, especialmente dada la digitalización de los servicios financieros y el mayor uso de proveedores de servicios externos, el Consejo de Estabilidad Financiera (FSB) exploró si se podría lograr la armonización en la notificación de incidentes cibernéticos.
El FSB encontró que existe fragmentación entre sectores y jurisdicciones en el alcance de lo que debe informarse por un incidente cibernético; metodologías para medir la gravedad y el impacto de un incidente; plazos para la notificación de incidentes cibernéticos; y cómo se utiliza la información de incidentes cibernéticos. Esto somete a las instituciones financieras que operan a través de fronteras o sectores a múltiples requisitos de informes para un incidente cibernético. Al mismo tiempo, las autoridades financieras reciben información heterogénea sobre un incidente determinado, lo que podría socavar la respuesta y las acciones de recuperación de una institución financiera. Esto subraya la necesidad de abordar las limitaciones en el intercambio de información entre las autoridades financieras y las instituciones financieras.
Reconociendo que la información sobre incidentes cibernéticos es crucial para acciones efectivas y promover la estabilidad financiera, el FSB identificó tres formas en que avanzará en el trabajo para lograr una mayor convergencia en la notificación de incidentes cibernéticos:
■ Desarrollar las mejores prácticas. Identificar un conjunto mínimo de tipos de información que las autoridades puedan requerir relacionada con incidentes cibernéticos para cumplir un objetivo común (por ejemplo, estabilidad financiera, evaluación de riesgos, monitoreo de riesgos) que las autoridades podrían considerar al desarrollar su régimen de notificación de incidentes cibernéticos. Este conjunto de información también ayudaría a las autoridades a determinar los umbrales de notificación, los plazos para la presentación de informes y la notificación, reconociendo al mismo tiempo que un enfoque único para todos puede no ser apropiado ni posible.
■ Identificar los tipos comunes de información que se compartirán. Identificar los elementos de información clave que deben compartirse entre sectores y jurisdicciones, y comprender cualquier impedimento legal y operativo para compartir dicha información. Esto facilitaría un mayor intercambio de información y ayudaría a las autoridades a comprender mejor los impactos de un incidente cibernético en todos los sectores y jurisdicciones. Dado que una solución multilateral a los problemas de intercambio de información sería un desafío, sería esencial que las jurisdicciones miembros del FSB continuaran los esfuerzos bilaterales y regionales para reducir las barreras legales y operativas al intercambio de información.
■ Crear terminologías comunes para la notificación de incidentes cibernéticos. Los sistemas armonizados de notificación de incidentes cibernéticos requieren un «lenguaje común». En particular, se necesita una definición común de «ciber incidente» que evite la notificación de incidentes que no sean significativos para una institución financiera o la estabilidad financiera.
Una mayor armonización de la notificación reglamentaria de los ciber incidentes promovería la estabilidad financiera mediante: i) la creación de un entendimiento común y la supervisión de los ciber incidentes que afecten a las entidades financieras y al sistema financiero, ii) el apoyo a una supervisión eficaz de los riesgos cibernéticos en las instituciones financieras; y iii) facilitar la coordinación y el intercambio de información entre las autoridades de todos los sectores y jurisdicciones.
1. Introducción
La mejora de la ciber resiliencia es un elemento clave del programa de trabajo del FSB para promover la estabilidad financiera. Este trabajo incluye la identificación de la fragmentación en los enfoques de supervisión y regulación del riesgo de ciberseguridad y/o tecnología de la información, la creación de un Cyber Lexicon y el desarrollo de prácticas efectivas para la respuesta y recuperación de incidentes cibernéticos, lo que puso de relieve la fragmentación en la notificación de incidentes cibernéticos.
El objetivo de este informe es explorar si se podría lograr una mayor convergencia en la notificación de incidentes cibernéticos, incluida la forma en que las autoridades definen un incidente cibernético. Para informar este trabajo, el FSB hizo un balance de la notificación regulatoria de incidentes cibernéticos por parte de las instituciones financieras a sus autoridades financieras, tuvo discusiones de seguimiento con las autoridades financieras y se comprometió con las partes interesadas externas sobre sus experiencias con la notificación de incidentes cibernéticos a las autoridades. El trabajo exploró los regímenes de notificación de incidentes cibernéticos de las autoridades financieras con miras a identificar áreas en las que una mayor armonización podría mejorar la efectividad de la información sobre incidentes cibernéticos para apoyar la comprensión de las autoridades de los riesgos para la institución y el sistema financieros. Las áreas exploradas incluyen: los tipos de información recopilada; criterios para la notificación de incidentes cibernéticos; cómo se utiliza la información de incidentes cibernéticos; y los mecanismos para compartir información relacionada con incidentes cibernéticos con otras autoridades e instituciones financieras. En los anexos figuran más detalles sobre el balance.
En las siguientes secciones se analizan las esferas en las que existe fragmentación en la notificación de incidentes cibernéticos y cómo podría mejorarse el intercambio de información relacionada con los incidentes cibernéticos (dentro de las limitaciones de la confidencialidad de los datos y las restricciones de seguridad nacional) y, por lo tanto, apoyar una mayor convergencia. La conclusión identifica tres formas de lograr una mayor convergencia.
2. Fragmentación en la notificación de incidentes cibernéticos
Hay muchos elementos comunes en la notificación de incidentes cibernéticos en todas las jurisdicciones y sectores. Esto incluye la fecha y hora del incidente; impacto del incidente en los clientes, la reputación y las finanzas; fecha y cómo se identificó el incidente (por ejemplo, por un cliente, empleado, proveedor de servicios externo) y la causa del incidente. A pesar de estos puntos en común, existen diferencias significativas en: cómo se define un incidente cibernético; umbrales para la notificación de incidentes cibernéticos, definiciones de materialidad; cómo se utiliza la información del incidente; y el plazo para notificar un incidente. Estas diferencias se detallan a continuación y dan lugar a la fragmentación en la notificación de incidentes cibernéticos. En particular, las instituciones financieras que operan en todas las jurisdicciones y sectores están sujetas a múltiples requisitos de presentación de informes para un incidente. Al mismo tiempo, las autoridades financieras reciben información heterogénea para un incidente cibernético determinado que afecta su evaluación del riesgo para la institución financiera y el sistema financiero.
■ Alcance de la notificación de incidentes cibernéticos». El alcance de los «incidentes cibernéticos» que deben ser reportados por las instituciones financieras a las autoridades financieras varía según las jurisdicciones y los sectores. Por ejemplo, algunas autoridades no distinguen entre incidentes operativos más amplios y ciber incidentes ni definen un «incidente cibernético» de manera más amplia que otras, a menudo usándolo indistintamente con un «evento cibernético», que generalmente se asocia con «cualquier ocurrencia observable en un sistema de información». Esto puede llevar a una notificación y notificación excesivas de incidentes que generalmente pueden ser administrados por instituciones financieras.
■ Umbrales para la notificación de incidentes cibernéticos. Los umbrales para informar incidentes cibernéticos varían entre jurisdicciones y sectores, a menudo debido a la falta de una metodología establecida para medir el impacto y la gravedad, y pueden ser muy bajos. En algunos casos, por ejemplo, los umbrales de notificación están vinculados al número o porcentaje de clientes afectados, a la cuota de mercado o a la pérdida financiera, o a indicadores cualitativos como el riesgo reputacional. Reconociendo que los incidentes cibernéticos afectan a las instituciones financieras de diferente tamaño y complejidad de manera diferente, algunas autoridades esperan que las instituciones supervisadas definan sus propios umbrales de materialidad, lo que aumenta las diferencias en el umbral de materialidad entre las instituciones.
■ Plazo de presentación de informes. Los plazos requeridos para informar incidentes cibernéticos varían según las jurisdicciones y, a veces, dentro de las jurisdicciones, desde «tan pronto como se identifique» hasta 48 horas o más, además de las actualizaciones periódicas. Si bien proporcionar notificaciones tempranas a las autoridades facilitaría una respuesta de supervisión oportuna, se reconoce de manera similar que exigir a las instituciones financieras que proporcionen un informe completo en un corto período de tiempo desvía recursos valiosos de contener y abordar el incidente cibernético de manera oportuna. También podría resultar en proporcionar información incompleta debido al tiempo necesario para recopilar y evaluar el alcance de un incidente cibernético. La notificación temprana se vuelve más difícil si el incidente involucra a proveedores de servicios externos.
■ Utilización de la información comunicada. Las autoridades financieras utilizan la información de los incidentes cibernéticos para diferentes propósitos dependiendo, por ejemplo, de los mandatos relevantes, y esto puede afectar la forma en que establecen sus respectivos requisitos de presentación de informes. Por ejemplo, más autoridades utilizan la información reportada para monitorear y evaluar las vulnerabilidades de una institución financiera, en lugar de evaluar cómo los incidentes cibernéticos podrían representar riesgos para el sistema financiero.
3. Intercambio de información relacionada con incidentes cibernéticos
La fragmentación en la notificación de incidentes cibernéticos es a menudo el resultado de diferencias en los mandatos de las autoridades pertinentes, por ejemplo, entre las autoridades prudenciales y otros tipos de autoridades. Además, muchas instituciones financieras están sujetas a la supervisión de múltiples reguladores. La mejora de los acuerdos de intercambio de información ayudaría a reducir la fragmentación en la notificación de incidentes cibernéticos y promovería una comprensión común del riesgo para la institución financiera y el sistema financiero.
Si bien muchas autoridades financieras tienen acuerdos formales o informales de intercambio de información con una o más autoridades fuera de su jurisdicción, existen diferencias sustanciales en el alcance, la profundidad y la forma de dicho intercambio de información entre jurisdicciones y sectores. Esto a menudo se debe a limitaciones legales y de confidencialidad, así como a la falta de claridad sobre la información que podría compartirse. Se pueden lograr mejoras en la cooperación mediante acuerdos de cooperación por escrito entre los reguladores, que abarcan la notificación y la comunicación oportunas entre las autoridades, así como la cooperación en las actividades de respuesta y mitigación. Desarrollar una mejor comprensión de los posibles impactos sistémicos de los incidentes cibernéticos en las instituciones financieras que operan en diferentes jurisdicciones ayudaría a las autoridades a comprender mejor qué tipos de información se necesitan e identificar más fácilmente a otras autoridades con las que se debe compartir la información.
Mejorar la coherencia de la estructura, el contenido y la puntualidad de los informes también mejoraría el intercambio de información y la capacidad de las autoridades para responder a un incidente, en particular cuando es necesario que participen varias autoridades. Esto podría incluir el desarrollo de un formato de intercambio estandarizado y una metodología para la notificación de incidentes cibernéticos o un protocolo compartido que facilite la cooperación (es decir, especificando qué tipo de información debe compartirse, cuándo se debe compartir la información, quién debe compartir con quién y cómo se debe compartir la información). Por ejemplo, ampliar el uso de plataformas comunes de presentación de informes, por ejemplo, alentando a la industria financiera a establecer o unirse a plataformas nacionales (o regionales) de intercambio de información cibernética, podría ayudar. Estas plataformas podrían ser intersectoriales, con la participación tanto de la industria como de las autoridades de los respectivos sectores. La automatización también puede facilitar el intercambio de información.
4. Conclusiones
Lograr una mayor convergencia en la notificación de incidentes cibernéticos no es sencillo. Las diferencias jurisdiccionales permanecerán, como la presentación de informes a las agencias de seguridad nacional y protección de datos. Reconociendo que existen una serie de impedimentos, incluidas consideraciones intersectoriales, que hacen que la convergencia en los regímenes de notificación de incidentes cibernéticos sea particularmente difícil, se debe tener debidamente en cuenta cualquier enfoque que intente abordar la fragmentación en la notificación de incidentes cibernéticos y evitar la creación de una nueva fragmentación.
Además, la confidencialidad, la privacidad y otras restricciones legales, así como otras prácticas pueden restringir la capacidad de las autoridades para compartir información, incluso dentro de la misma jurisdicción. También puede haber una falta de claridad sobre qué y cómo se podría compartir la información a través de una plataforma segura. Además, a menudo no existe un fuerte incentivo a nivel individual para compartir información, incluso si es en interés colectivo de las partes interesadas pertinentes.
En este contexto, el FSB ha identificado tres formas de lograr una mayor convergencia en la notificación de incidentes cibernéticos, lo que facilitaría el intercambio de información entre jurisdicciones y sectores:
■ Desarrollar las mejores prácticas. Identificar un conjunto mínimo de tipos de información que las autoridades puedan requerir relacionada con incidentes cibernéticos para cumplir un objetivo común (por ejemplo, estabilidad financiera, evaluación de riesgos, monitoreo de riesgos) que las autoridades podrían considerar al desarrollar su régimen de notificación de incidentes cibernéticos. Este conjunto de información también ayudaría a las autoridades a determinar los umbrales de notificación, los plazos para la presentación de informes y la notificación, reconociendo al mismo tiempo que un enfoque único para todos puede no ser apropiado ni posible.
■ Identificar los tipos comunes de información que se compartirán. Identificar los elementos de información clave que deben compartirse entre sectores y jurisdicciones, y comprender cualquier impedimento legal y operativo para compartir dicha información. Esto facilitaría un mayor intercambio de información y ayudaría a las autoridades a comprender mejor los impactos de un incidente cibernético en todos los sectores y jurisdicciones. Dado que una solución multilateral a los problemas de intercambio de información sería un desafío, sería esencial que las jurisdicciones miembros del FSB continuaran los esfuerzos bilaterales y regionales para reducir las barreras legales y operativas al intercambio de información.
■ Crear terminologías comunes para la notificación de incidentes cibernéticos. Los sistemas armonizados de notificación de incidentes cibernéticos requieren un «lenguaje común». En particular, se necesita una definición común de «ciber incidente» que evite la notificación de incidentes que no sean significativos para una institución financiera o la estabilidad financiera.
El FSB desarrollará plazos y modalidades detallados para llevar adelante este trabajo para fines de 2021.
Balance de los regímenes de notificación de incidentes cibernéticos de las autoridades
El FSB hizo un balance de los informes regulatorios de las autoridades sobre incidentes cibernéticos por parte de instituciones financieras (por ejemplo, bancos, aseguradoras, administradores de activos, IMF). El FSB también mantuvo conversaciones de seguimiento con las autoridades financieras y colaboró con las partes interesadas externas.
Se recibieron más de 80 respuestas de 23 de las 24 jurisdicciones miembros del FSB más la Unión Europea (UE) y 29 miembros de los seis Grupos Consultivos Regionales (RCG) del FSB.6 El balance se centró en: (1) el alcance institucional de la notificación de incidentes cibernéticos por parte de las instituciones financieras; (2) criterios para la notificación y características de los incidentes cibernéticos reportables; (3) uso de la información reportada por las autoridades financieras; 4) cooperación y coordinación entre las autoridades dentro de las jurisdicciones y entre ellas; (5) desafíos para implementar regímenes de notificación de incidentes cibernéticos; y (6) cómo las autoridades utilizan el Léxico Cibernético del FSB en el desarrollo de sus políticas e interacciones con las instituciones financieras.
1. Alcance institucional de la notificación de incidentes cibernéticos
La mayoría de las autoridades que respondieron al balance requieren que las instituciones financieras bajo su supervisión informen sobre incidentes cibernéticos, pero no hacen distinción entre incidentes cibernéticos e incidentes operativos más amplios para fines de informes regulatorios. Como resultado, los incidentes cibernéticos se notifican a las autoridades financieras pertinentes en el marco más amplio de notificación de riesgos operativos como un subconjunto de incidentes operativos (o de tecnología de la información / ciberseguridad). Muchas autoridades también emiten pautas o preguntas frecuentes (FAQ) para aclarar los detalles de sus requisitos de notificación de incidentes cibernéticos.
Muchas autoridades «de origen» requieren que las instituciones financieras de su jurisdicción informen de incidentes cibernéticos en sus subsidiarias, sucursales u otras operaciones en jurisdicciones extranjeras, pero solo un pequeño número de autoridades requiere que dicha información se informe a las autoridades «anfitrionas».7 Además, muchas autoridades «de origen» requieren que los incidentes cibernéticos en proveedores de servicios externos (incluidos los proveedores de servicios en la nube) a las instituciones financieras en su jurisdicción se les informen como «hogares». autoridades. Aunque sólo unos pocos exigen que dicha información se comunique a las autoridades de acogida, varias autoridades alientan a las instituciones financieras a compartir dicha información con las autoridades de acogida.
1.1 Tipos de información sobre incidentes cibernéticos que deben notificarse
Hay muchos tipos comunes de información reportada sobre incidentes cibernéticos en todas las jurisdicciones y sectores (ver Gráfico 1). Esto incluye la fecha y hora del incidente; impacto del incidente en los clientes, la reputación y las finanzas; fecha y cómo se identificó el incidente (por ejemplo, por un cliente, empleado, proveedor de servicios externo) y la causa del incidente.
A pesar de estos puntos en común, existen diferencias significativas en: cómo se define un incidente cibernético; umbrales para la notificación de incidentes cibernéticos, definiciones de materialidad; cómo se utiliza la información del incidente; y el plazo para notificar un incidente. Por ejemplo, el plazo para informar de un incidente cibernético y cómo se comunican los incidentes varían según los sectores y las jurisdicciones (véase el gráfico 2). Las autoridades a menudo requieren plazos específicos para informar un incidente una vez identificado, que pueden variar ampliamente, y pueden ser adicionales a las actualizaciones periódicas dependiendo de la gravedad del incidente. Los canales para comunicar incidentes cibernéticos también varían según las jurisdicciones, y la mayoría de las instituciones financieras se comunican por correo electrónico, correo electrónico cifrado o una plataforma segura.
Sin embargo, la mayoría de las autoridades prefieren que se utilice más de un canal de comunicación para denunciar un incidente cibernético, como el teléfono, las reuniones y el informe escrito. Solo algunas autoridades requieren que las instituciones financieras autoricen a personal particular a reportar un incidente, como el director de Seguridad de la Información (CISO) o el director de Información / Tecnología (CIO / CTO). Algunas autoridades también establecen diferentes protocolos y / o plantillas para la notificación de incidentes cibernéticos en función de ciertas características de las instituciones financieras. Tales características incluyen: industria y sectores; tipo de licencia que poseen las instituciones financieras o actividades en las que participan las instituciones financieras; y el tamaño o la importancia sistémica de una institución financiera.
2. Criterios para la notificación y características de los ciber incidentes notificables
La mayoría de las autoridades establecen umbrales cuantitativos y cualitativos para informar sobre incidentes cibernéticos (Gráfico 3), pero no tienen una metodología establecida para determinar el impacto y la gravedad de un incidente cibernético. Esto puede deberse a la dificultad inherente para determinar el impacto de los incidentes cibernéticos, que pueden cambiar a lo largo de la vida útil del incidente, así como a que las instituciones financieras tienen discreción para definir los incidentes cibernéticos que se informarán, pero bajo la orientación de las autoridades pertinentes. De las autoridades que tienen una metodología establecida, muchas incluyen umbrales cuantitativos para medir el impacto y la gravedad de un incidente cibernético basados en el «impacto en los clientes de la institución financiera» y el «impacto y la gravedad de la pérdida financiera», aunque las definiciones detalladas difieren. La mayoría de las autoridades permiten que las instituciones financieras presenten informes de notificación voluntaria sobre el impacto y la gravedad de un incidente.
Muchas autoridades han desarrollado una taxonomía para designar un incidente cibernético, y la mayoría utiliza un híbrido de un léxico auto derivado y un estándar de mercado o industria que prevalece en su propia jurisdicción. La mayoría de las taxonomías distinguen los incidentes cibernéticos de otros tipos de incidentes operativos, y entre los incidentes cibernéticos que se originaron en una institución financiera o en un proveedor de servicios externo. El alcance de la taxonomía se aplica en gran medida a los incidentes cibernéticos confirmados y la mayoría de las taxonomías incluyen categorías para actividades maliciosas y no maliciosas (Gráfico 4).
3. Uso de la información reportada por las autoridades financieras
Los datos de notificación de incidentes cibernéticos se utilizan principalmente para informar el análisis del perfil de riesgo de la institución financiera, y las autoridades toman una serie de medidas después de un incidente cibernético reportado (consulte el Gráfico 5). Entre los ejemplos de medidas adoptadas figuran: medidas de supervisión o reglamentación en las que participe la entidad afectada; actualizaciones de los reglamentos y orientaciones; incorporar los datos de incidentes en el seguimiento y análisis de las tendencias; y el intercambio de información con otras autoridades (aunque puede estar limitado debido a limitaciones legales o restricciones de confidencialidad dentro de cada jurisdicción). Muchas autoridades también utilizan la información comunicada para su análisis de la estabilidad financiera, incluidas las pruebas de resistencia. Sin embargo, incluir información sobre incidentes cibernéticos en las pruebas de resistencia aún no es una práctica común.
4. Cooperación y coordinación
Algunas autoridades comparten los resultados de un incidente cibernético con otras agencias (por ejemplo, agencias cibernéticas nacionales), otras instituciones financieras y con el público. La información compartida incluye elementos que son de interés público y donde la conciencia pública es necesaria. Esta información suele ser anónima y no incluye detalles confidenciales. La información compartida podría incluir causas raíz de incidentes, lecciones aprendidas y acciones correctivas, así como modus operandi de ataque, indicadores de compromiso (IOC), detalles técnicos de malware y vectores de ataque.
Muchas autoridades tienen una responsabilidad compartida8 con otras autoridades dentro de su jurisdicción relacionadas con incidentes cibernéticos y comparten información sobre incidentes con ellas de forma bilateral, multilateral o informal. La notificación por correo electrónico es el método preferido de intercambio de información entre las autoridades, con correos electrónicos cifrados también comúnmente utilizados. Los criterios para compartir información con las autoridades intersectoriales incluyen si el incidente fue significativo, podría amenazar la estabilidad financiera o podría afectar de otra manera el mandato de otra autoridad.
Muchas autoridades son miembros de grupos de intercambio de información de toda la industria relacionados con incidentes cibernéticos. Los grupos de intercambio de información más comúnmente citados en toda la industria incluyen: (i) Equipo de Respuesta a Emergencias Informáticas (CERT); ii) Centro de Análisis e Intercambio de Información de Servicios Financieros (FS-ISAC); iii) Teleconferencia de Conciencia Situacional de Seguridad Operacional (OSSAT); iv) Equipo de Respuesta a Incidentes de Seguridad Informática (CSIRT); v) Iniciativa para el intercambio de información e inteligencia cibernética (CIISI); vi) Banco Central y Foro de Reglamentación y Supervisión; y vii) el Consejo de Coordinación del Sector de Servicios Financieros.
Los sistemas internos de clasificación de la información prevalecen entre las autoridades; sin embargo, estos sistemas tienden a ser para fines más amplios que la ciberseguridad y pueden no estar necesariamente alineados con protocolos de la industria como el Protocolo de Semáforo (TLP). El TLP puede ser una posición de partida para determinar cómo clasificar la información que se compartirá en función de cada acuerdo único de intercambio de información, ya que la información suficientemente desinfectada y los datos de tendencias pueden alinearse con los estándares de TLP. Por ejemplo, la información compartida con los grupos de intercambio de información de ciberseguridad se puede desinfectar para incluir solo IOC y otros datos de Tácticas, Técnicas y Procedimientos (TTP) que pueden ser utilizados por otras organizaciones para identificar y prevenir o responder a un ataque.
Algunas autoridades asignan su propio sistema de clasificación de la información a los existentes en otras instituciones o cotejan su sistema interno de clasificación de la información con los protocolos respectivos de la industria, antes de compartir la información de ciberseguridad. La confidencialidad de la información debe revisarse caso por caso y está sujeta a requisitos legales. En muchos casos, el intercambio requiere autorización previa (por ejemplo, por parte de los propietarios de la información o de un Comité Ejecutivo en particular).
5. Desafíos en la implementación de regímenes de notificación de incidentes cibernéticos
Si bien la mayoría de las autoridades consideran que su actual régimen de notificación de incidentes cibernéticos es efectivo, se destacó una amplia gama de desafíos en su implementación. Estos incluyen:
■ intercambio de información y una mayor coordinación de los ciberincidentes con otras autoridades en todas las jurisdicciones y sectores (para evitar la notificación insuficiente y la notificación excesiva), por ejemplo, debido a la confidencialidad y las limitaciones legales y reglamentarias;
■ carga operativa para las instituciones financieras y las autoridades;
■ establecer criterios/umbrales cuantitativos y cualitativos adecuados y coherentes para la presentación de informes;
■ establecer una cultura/comportamiento adecuado entre las instituciones financieras para notificar los ciberincidentes de manera oportuna;
■ dificultad para realizar evaluaciones precisas y decisiones informadas durante la fase inicial de los ciberincidentes sobre la base de la información notificada a medida que los incidentes se desarrollan con el tiempo;
■ definiciones y taxonomías incoherentes relacionadas con la ciberseguridad en todas las instituciones financieras, ya que tienden a tener definiciones y taxonomía desarrolladas internamente;
■ establecer un método seguro de comunicación sobre incidentes cibernéticos; y
■ el desarrollo de las capacidades y competencias adecuadas entre el personal de las autoridades competentes.
Las autoridades que consideran que su régimen es menos eficaz lo atribuyen a: requisitos incoherentes en todos los sectores financieros; la falta de agregación, análisis de tendencias y archivo; la falta de requisitos específicos de notificación de incidentes cibernéticos en los regímenes de notificación de ciberseguridad existentes; y la falta de estructura y proceso claro.
6. Uso del FSB Cyber Lexicon
Muchas autoridades utilizan el FSB Cyber Lexicon en sus guías o informes internos, y en menor medida, en sus discusiones con las instituciones financieras. En algunos casos, el Léxico se considera en la redacción de alertas, políticas, procedimientos y orientación de riesgos relacionados con el ciberespacio, así como en las evaluaciones de supervisión y regulación. El Léxico Cibernético es generalmente bien reconocido por las instituciones financieras y muchas autoridades nacionales utilizan muchos términos en sus comunicaciones y discusiones con las instituciones financieras. Sin embargo, las instituciones financieras no lo utilizan necesariamente para sus fines internos de gestión de riesgos, ya que se basan en terminologías y definiciones utilizadas en los estándares de ciberseguridad que adoptan.
Más específicamente, solo unas pocas autoridades usan la definición de Cyber Lexicon para «incidente cibernético». Todas las demás autoridades utilizan su propia definición, que normalmente se establece en reglamentos o directrices.
Estos van desde definiciones de alto nivel, como «un compromiso real o potencial de la seguridad de la información», o «cualquier tipo de interrupción de la prestación de servicios en virtud de obligaciones de licencia», hasta definiciones más complejas y detalladas.
Algunas autoridades ven la necesidad de actualizar el Cyber Lexicon para mantenerse al día con la evolución del panorama cibernético y el desarrollo de la tecnología de la información. Por ejemplo, dado el aumento de las amenazas cibernéticas debido a los prolongados acuerdos de trabajo remoto a la luz de COVID-19 y el aumento de la dependencia de proveedores de servicios externos, varias autoridades sugirieron incluir términos como ‘phishing’, ‘ransomware’, ‘prueba de concepto’ y ‘cadena de suministro’, junto con otros términos relacionados con las dependencias de terceros y la resiliencia operativa. También puede ser necesario considerar la posibilidad de mejorar las definiciones existentes de «activos de información» y «activos de TIC». Al mismo tiempo, las autoridades también reconocieron que, al considerar la posibilidad de actualizar el Léxico Cibernético, se debe prestar la debida consideración a otros léxicos emergentes10 y se deben hacer esfuerzos para establecer que las actualizaciones, si las hay, del Léxico Cibernético estén alineadas y no contribuyan inadvertidamente a nuevas diferencias artificiales que contribuyan a la fragmentación. Además, también se debatió si podría ser más apropiado que el Léxico Cibernético fuera actualizado por otros organismos del sector público o privado. En general, si bien hay múltiples organismos que podrían actualizar el Cyber Lexicon, el FSB aún podría desempeñar un papel de liderazgo en este sentido.