Actualizando – a prop贸sito de la ciberseguridad en mercados de valores. EEUU

Spread the love

Con motivo de una intervenci贸n , estos d铆as, en el I Encuentro INCIBE de Acad茅micos聽 en materia de Ciberseguridad y Derecho, se retoma y actualiza una antigua entrada de agosto de 2017

Dec铆amos que en EEUU la Regulation Systems Compliance and Integrity , RSCI un reglamento que hab铆a sido aprobado por la Securities and Exchange Commission, SEC, en 2014. El objetivo principal del RSCI es lograr un funcionamiento seguro de los sistemas tecnol贸gicos de los 聽芦participantes clave del mercado禄. La RSCI fue objeto de atenci贸n medi谩tica y constituy贸 una respuesta a los incidentes y fallos en la seguridad y funcionamiento de sistemas inform谩ticos que hab铆an sido comunicados, o que se hab铆an hecho evidentes. De modo muy particular responde a los que condujeron al llamado flash 芦crash禄 de 6 de mayo de 2010.聽

La SEC ya -antes de 2015- contaba con una l铆nea de pol铆tica estrat茅gica de seguridad basada en principios voluntarios (Pol铆tica de Revisi贸n de la Automatizaci贸n, ARP) , que inclu铆a inspecciones de vigilancia tecnol贸gica. Adem谩s, la Government Accountability Office hab铆a recomendado introducir normas obligatorias, as铆 como mayores controles y supervisi贸n de los sistemas inform谩ticos con incidencia en la actividad de los mercados. La RSCI avanza en esa l铆nea:

    • Los sistemas de cumplimiento y de integridad a los que refiere a RSCI consisten en mecanismos inform谩ticos y procedimientos pautados que se utilizan en procesos digitales desarrollados en los centros de negociaci贸n y en su entorno. Se despliegan sobre la negociaci贸n, la liquidaci贸n, el enrutamiento de ordenes, los datos operativos y de supervisi贸n de mercado, entre otros.
    • La RSCI impone que las entidades aprueben pol铆ticas y pongan en marcha procedimientos escritos para proteger su capacidad operativa (incluyendo pruebas regulares para identificar fallos y amenazas). Deben garantizar que cuentan con 芦niveles de capacidad, integridad, resiliencia, disponibilidad y seguridad adecuados para mantener su capacidad operativa, y para interactuar en mercados ordenados鈥. Se les impone, adem谩s, estrictas obligaciones de notificaci贸n al supervisor de mercados (SEC), y de difusi贸n de informaci贸n entre sus propios administradores y altos ejecutivos, y entre 聽los miembros o partes que se relacionen con la entidad, adem谩s de deberes de registro de los incidentes y de las medidas de cumplimento.
    • El vigente Reglamento exige a las entidades sujetas, entre otras cosas: disponer de pol铆ticas y procedimientos exhaustivos dise帽ados razonablemente para garantizar que sus sistemas tengan los niveles de capacidad, integridad, resistencia, disponibilidad y seguridad adecuados para mantener la capacidad operativa y promover el mantenimiento de unos mercados justos y ordenados; adoptar las medidas correctivas apropiadas en respuesta a los problemas de los sistemas; proporcionar notificaciones e informes a la Comisi贸n dise帽ados para facilitar la supervisi贸n de la tecnolog铆a del mercado de valores; difundir informaci贸n sobre los problemas de los sistemas a las partes afectadas; realizar una revisi贸n anual de las pol铆ticas y procedimientos de las entidades sujetas. Estas entidades tambi茅n tendr谩n que realizar pruebas coordinadas de continuidad de la actividad y pruebas de recuperaci贸n en caso de cat谩strofe (BC/DR), sobre ambas tendr谩n que crear, mantener y conservar registros.
    • En relaci贸n con los marcos tecnol贸gicos, como no exist铆an referencias tecnol贸gicas totalmente fiables se presume que son seguras las disposiciones que se vayan aprobando para el sector financiero por el gobierno de los Estados Unidos u otra 芦organizaci贸n ampliamente reconocida鈥

Paraninfo Gord贸n Ord谩s. Universidad de Le贸n

Actualmente el RSCI entrado en un proceso de reforma: En 2023 la SEC propuso modificaciones al RSCI de la Securities Exchange Act de 1934 (芦Exchange Act禄),聽 cuyo resumen puede consultarse aqu铆

Las modificaciones propuestas ampliar铆an la definici贸n de 芦entidad sujeta禄 para incluir una gama m谩s amplia de participantes en las infraestructura del mercado de valores de Estados Unidos, y actualizar铆an ciertas disposiciones del RSCI para tener en cuenta la evoluci贸n del panorama tecnol贸gico de los mercados:

      • La ampliaci贸n propuesta a帽adir铆a las siguientes entidades: los depositarios de datos de permutas financieras basadas en valores (芦SBSDR禄, por sus siglas en ingl茅s) registrados; los intermediarios registrados que superen un umbral de activos o de actividad de operaciones; y las agencias de compensaci贸n adicionales exentas de registro. Los agentes de bolsa registrados ante la Comisi贸n en virtud de la Secci贸n 15(b) que superen un umbral de activos totales o un umbral de actividad de transacci贸n en acciones NMS, opciones cotizadas en bolsa, valores del Tesoro de EE.UU. o valores de la Agencia; y – Todas las agencias de compensaci贸n exentas de registro.
      • Adem谩s, las actualizaciones propuestas modificar铆an las disposiciones del Reglamento en relaci贸n con : (i) la clasificaci贸n de sistemas y la gesti贸n del ciclo de vida; (ii) la gesti贸n de terceros/proveedores; (iii) la ciberseguridad; (iv) la revisi贸n de la SCI; (v) el papel de las normas industriales actuales; y (vi) el mantenimiento de registros y asuntos relacionados.聽 Sin olvidar que la Comisi贸n ha solicitado comentarios al p煤blico sobre si otras entidades, como los intermediarios que utilizan sistemas electr贸nicos o automatizados para la negociaci贸n de valores de deuda corporativa o valores municipales, deben estar sujetos al Reglamento.
      • Otras obligaciones que se imponen , de aprobarse la propuesta de reforma, obligan a especificar que las pol铆ticas y procedimientos requeridos de una entidad sujeta incluyen: o bien un programa de inventario, clasificaci贸n y gesti贸n del ciclo de vida de los sistemas SCI y los sistemas SCI indirectos; o bien un programa para gestionar y supervisar a terceros proveedores, incluidos los proveedores de servicios en la nube, que proporcionen o soporten sistemas SCI o SCI indirectos. Tambi茅n, como se indic贸 antes, que cuenten con Planes de resistencia y recuperaci贸n (BC/DR) y que 茅stos prevean la respuesta para supuestos en los que la indisponibilidad de cualquier proveedor externo sin el cual habr铆a un impacto material en los sistemas SCI cr铆ticos; o un programa para evitar el acceso no autorizado a los sistemas SCI y a la informaci贸n en ellos contenida.

Entradas relacionadas:

 

Ciberseguridad en mercados de valores (III) Guia IOSCO de resiliencia cibern茅tica de infraestructuras mercados. Y, otras gu铆as y propuestas

Ciberseguridad, orientaciones para empresas cotizadas. Antecedentes, a la espera de la reforma normativa en Estados Unidos

Ciberseguridad en mercados de valores (I). Cooperaci贸n internacional y flexibilidad

Ciberseguridad en mercados de valores (II). Informe Consejo IOSCO 2016

Investigaci贸n financiada por el proyecto nacional PID2021-127527OB-I00,聽Proyectos de Generaci贸n de Conocimiento 2021,聽Modalidades: Investigaci贸n No Orientada e Investigaci贸n Orientada