Ciberseguridad en mercados de valores (II). Informe Consejo IOSCO 2016

Spread the love

Un informe del Consejo de 聽IOSCO de 2016 (basado en otro previo de 2014) alerta sobre aspectos principales de la ciberseguridad en mercados de valores聽

  1. Define ciberriesgos, ciberataques, decisiones que deben adoptar los reguladores y pr谩cticas de los participantes en mercado para mejorar la ciberseguridad.IglesiaSantiagoVillaFranca
  1. En relaci贸n con la revelaci贸n de incidentes, principios de divulgaci贸n peri贸dicos y el tratamiento de un marco de divulgaci贸n en las jurisdicciones de los miembros de IOSCO dependientes de las leyes dom茅sticas y est谩ndares IOSCO para evitar ciberataques
  1. En los centros de negociaci贸n se deben realizar negociaciones electr贸nicas, revisiones peri贸dicas, pr谩cticas seguras siguiendo el marco NIST (National Institute of Standards and Technology).
    • sistemas de atraer y atrapar;
    • informaci贸n de amenazas en tiempo real;
    • herramientas software SIEM;
    • protecci贸n de informaci贸n interna;
    • direcci贸n de terceras partes;
    • nuevos enfoques de seguridad en la nube;
    • colaboraci贸n con y entre los centros de negociaci贸n.
  1. IOSCO cuenta con un grupo de trabajo para proveer asistencia informal聽a intermediarios de mercado
  2. IOSCO realiza encuestas entre gestores de activos para conocer聽sus necesidades, y ya se conocen algunas
    • Coherencia entre los sistemas de seguridad
    • Claves largas y complejas;
    • Inventario peri贸dico de los ordenadores, programas de software y aplicaciones; y d) un plan de respuesta preciso.
  1. Sobre infraestructuras del mercado financiero, el grupo conjunto de CPMI-IOSCO sobre Ciber Resiliencia (WGCR) ha emitido un documento con una gu铆a para las infraestructuras financieras de mercado (FMI): gobernanza, identificaci贸n, protecci贸n, detecci贸n, respuesta y recuperaci贸n. Recomienda adoptar un papel activo para mejorar la capacidad cibern茅tica.
  1. Se hace preciso compartir informaci贸n entre reguladores de valores. La colaboraci贸n resulta 煤til para emular las medidas t茅cnicas de los actores y la prevenci贸n de ataques cibern茅ticos.
    • Existen dos tipos b谩sicos de informaci贸n, t茅cnica / operacional, es decir, de computadora a computadora, o informaci贸n estrat茅gica con evidencias contextuales de amenazas o vulnerabilidades.
    • Los gobiernos han de promover, facilitar y compartir informaci贸n con la industria estableciendo redes de informaci贸n. Seg煤n el MMoU de IOSCO, los reguladores pueden intercambiar informaci贸n sobre violaciones de seguridad relacionadas con ciberataques, particularmente en casos como ventas fraudulentas, apropiaci贸n indebida de bienes, abuso del mercado, disrupci贸n del sistema o sabotaje.
  1. En conclusi贸n:
    • la ciberseguridad es uno de los retos m谩s importantes para los mercados y reguladores;
    • es un problema internacional, global
    • existen multitud de amenazas destacando las asociadas al uso de tecnolog铆as de almacenamiento de informaci贸n y computaci贸n en l铆nea;
    • los agentes de los mercados deben adoptar medidas bas谩ndose en herramientas, directrices y marcos de actuaci贸n de IOSCO
    • la publicaci贸n de hechos relevantes sobre ciberriesgos y ciberataques deber铆a ajustarse a las circunstancias particulares de cada emisor, dando suficiente detalle pero sin llegar a comprometer m谩s la ciberseguridad;
    • es vital integrar la ciberseguridad en la gobernanza de las entidades implicando a directivos y consejeros;
    • la ciberseguridad debe formar parte de los programas de gesti贸n de riesgos;
    • es importante compartir informaci贸n tanto a nivel interno (participantes-reguladores de cada mercado) como, especialmente, internacional, dada la naturaleza internacional de los ciberriesgos;

 

IOSCO cuenta con un grupo de trabajo聽-芦Cyber Resilience and financial technology禄 que elabora recomendaciones o buenas pr谩cticas en este entorno.聽