Consejos para la gestión de riesgos en las TIC

Fuente de la imagen: mvc archivo propio

El Plan de acción FinTech de marzo de 2018 de la Comisión Europea (CE) solicitó específicamente a las Autoridades Europeas de Supervisión (ESA, siglas en inglés: European Supervisory Authorities), mapear en el primer trimestre de 2019 las prácticas de supervisión existentes en los sectores financieros, en torno a los requisitos de seguridad y gobernabilidad de las Tecnologías de la Información y la Comunicación (TIC), y cuando fuera apropiado: a) considerar la publicación de directrices destinadas a la convergencia de supervisión y cumplimiento de los requisitos de mitigación y gestión de riesgos de las TIC en el sector financiero de la Unión Europea (UE) b) si fuera necesario, proporcionar a la Comisión asesoramiento técnico sobre la necesidad de mejoras legislativas. También, para evaluar, para el cuarto trimestre de 2018 (ahora Q1 2019), los costos y beneficios de desarrollar un marco coherente de pruebas de resistencia cibernética para importantes participantes del mercado e infraestructuras dentro de todo el sector financiero de la UE. En esa línea, Las ESA publicaron recientemente dos consejos conjuntos en respuesta a las solicitudes formuladas por la CE. Por un lado, el asesoramiento conjunto sobre la necesidad de mejoras legislativas relacionadas con los requisitos de gestión de riesgos de las Tecnologías de la Información y la Comunicación (TIC) en el sector financiero de la UE (Asesoramiento en mejoras legislativas de las TIC). Por otro, asesoramiento conjunto sobre los costos y beneficios de un marco coherente de pruebas de resistencia cibernética para importantes participantes e infraestructuras del mercado dentro del sector financiero de la UE (Asesoramiento en un marco coherente de pruebas de resistencia cibernética).

Respecto a la necesidad de mejoras legislativas, según la EIOPA[1], al desarrollar el asesoramiento conjunto, el objetivo de las ESA era que cada entidad relevante debería estar sujeta a requisitos generales claros sobre la gobernanza de las TIC, incluida la ciberseguridad, para garantizar la provisión segura de servicios regulados. Guiados por ese objetivo, las propuestas presentadas en el Consejo tienen como objetivo promover una mayor capacidad de recuperación operativa y armonización en el sector financiero de la UE mediante la aplicación de cambios en sus respectivas legislaciones sectoriales. La notificación de incidentes es muy relevante para la gestión de riesgos de las TIC y permite a las entidades y autoridades relevantes registrar, monitorear, analizar y responder a las incidencias operativas, de seguridad y fraude de las TIC. Por lo tanto, las ESA exigen la simplificación de los aspectos de los marcos de información de incidentes en todo el sector financiero. Además, en relación a los costos y beneficios de un marco coherente de pruebas de resistencia cibernética, las ESA ven claros beneficios de dicho marco. Sin embargo, EIOPA apunta que en la actualidad existen diferencias significativas entre los sectores financieros y dentro de los mismos en cuanto al nivel de madurez de la ciberseguridad. En el corto plazo, las ESAs aconsejan enfocarse en lograr un nivel mínimo de ciberresiliencia en todos los sectores, en proporción a las necesidades y características de las entidades relevantes. Además, las ESA proponen establecer de manera voluntaria un marco de prueba coherente en toda la UE junto con otras autoridades relevantes teniendo en cuenta las iniciativas existentes[1]. Fuente de la información: EIOPA. Fuente de la imagen: mvc archivo propio.

_______________________

[1] The European Insurance and Occupational Pensions Authority.

[2] A largo plazo, las ESA tienen como objetivo garantizar un nivel de madurez cibernética suficiente de las entidades intersectoriales identificadas.