PROYECTO DE REGLAMENTO DE SEGURIDAD CIBERNÉTICA Y DE LA INFORMACIÓN Fabiola Herrera Subgerente de Sistemas e Innovación Tecnológica ÍNDICE 1. Seguridad de la Información vs. Seguridad Cibernética 2. Reglamento de Seguridad Cibernética y de la Información para el Sistema Financiero 3. Puntos a resaltar SEGURIDAD DE LA INFORMACIÓN VS SEGURIDAD CIBERNÉTICA Normativas de Seguridad de la Información Desde el siglo XIX hasta la actualidad, los estados han desarrollado normativas enfocadas a la clasificación y protección de la información en todos sus formatos y la preservación de su integridad, disponibilidad y confidencialidad. Con el surgimiento del la computación digital, se ve la necesidad de definir mecanismos para la protección de estos sistemas. 1889 Publicación de la Ley de Secretos Oficiales sus modificaciones 1986 Ley fraude y abuso computacional 1951 Decreto Clasificación de la Información y sus modificaciones 1947 Ley de Seguridad Nacional 1980-1986 Creación DNS e inicio de Internet comercial 1988 Carnegie Mellon abre el primer CERT del mundo 1995 Nace el estándar BS7799, futuro ISO 270001 1992 Lineamientos para la Seguridad de los Sistemas y Redes de la Información 1995 Ley de Reforma de Gestión de IT 2001-2004 Principios Seguridad de TI 1999 Ley Modernización de Servicios Financieros 2016 Directivas de Seg.de la Red y Sist, de la Información y GDPR 2007 2016 Agenda Global Elementos de Ciberseguridad Fundamentales ONU-UIT Ciberseguridad Sector Financiero Era Digital (1975 - a la fecha) Relación entre Seguridad Cibernética y Seguridad de la Información Elementos vulnerables vía las TIC Información Información análoga Información digital Seguridad de la Información Sistemas, Infraestructura Seguridad Cibernética Seguridad Cibernética Protección de la información en formato digital y sistemas que la sustentan frente a amenazas cibernéticas. Regulación de Seguridad Cibernética: ¿Es necesaria y por qué? Premisas 1. La tecnología abre la puertas al desarrollo de todos los sectores, incluyendo el nuestro. 2. El ecosistema financiero se sustenta en una red altamente interconectada entre varios actores. 3. Todas nuestras actividades están relacionadas con el mundo digital. Regulación de Seguridad Cibernética: ¿Es necesaria y por qué? Las ciberamenazas atentan contra la estabilidad financiera y la confianza en el sector. Se debe definir un marco normativo para hacer frente a las mismas y proteger la información y las infraestructuras tecnológicas de todas las entidades. Ciberataques exitosos La actual tendencia de ataques cibernéticos a entidades financieras como los expuestos a continuación, nos obliga a definir mecanismos de protección y colaboración mutua contra estos. Banco Central de Bangladesh 2016 • Robo de credenciales SWIFT Pérdida de 81 millones de dólares a través de transferencias SWIFT desde su cuenta de la Reserva Federal de los Estados Unidos Banco Central de Rusia 2016 • Ataque cibernético avanzado Pérdida de 31 millones de dólares de cuentas que los bancos comerciales mantienen en este Banco Central a través de transferencias fraudulentas Banco brasileño no identificado 2017 • Ataque avanzado a la infraestructura. 36 dominios y otros activos en línea confiscados por hackers que usaban este dominio para infectar con malware a los clientes Banco de México 2018 Banco de Chile 2018 • Ataque cibernético avanzado 300 millones de pesos mexicanos sustraídos del sistema financiero mediante transferencias no autorizadas de al menos 5 instituciones financieras • Ataque cibernético avanzado 10 millones de dólares transferidos hacia bancos del sudeste asiático mediante una combinación de robo de credenciales de SWIFT e infección de cientos de terminales y servidores Ciberataques exitosos La actual tendencia de ataques cibernéticos a entidades financieras como los expuestos a continuación, nos obliga a definir mecanismos de protección y colaboración mutua contra estos. Banco Central de Bahamas (2018) Cosmos Bank India (2018) Scotiabank, BBVA e Interbank Perú (2018) • Brecha de Seguridad En el marco de la campaña #OpIcarus, El colectivo de hackers Anonymous filtró las bases de datos del Banco Central de Bahamas y las publicó en la web • Hackeo de Cajeros Automáticos y de sistemas 11 millones de dólares sustraídos de cajeros automáticos comprometidos 2 millones de dólares transferidos ilegalmente hacia cuentas en el extranjero • Ataque cibernético avanzado • Perdida de la disponibilidad de los servicios por ataque combinado mediante botnets y phishing para infectar la plataforma de estos bancos con una variante del ransomware SAMAS. Regulaciones ciber vigentes a nivel mundial Estados Unidos • FFIEC – Manual de Seguridad de la Información (09/16) • FFIEC Cybersecurity Assessment Tool (04/17) • FED - Estándares mejorados para el manejo del riesgo cibernético. (En redacción desde 26/10/2016) Unión Europea • Estrategia del Sistema Europeo para la ciber-resiliencia de Entidades del Mercado Financiero (03/2017) • Medidas concernientes a un alto nivel común de seguridad de las redes y los sistemas de información en la Unión (6/7/2016) • General Data Protection Regulation (9/5/2016) México • Reglamento de Ciberseguridad – Banco de México (07/2017) Conformación Dirección de Ciberseguridad – Banco de México (16/5/2018) Chile Brasil • SBIF - Lineamientos y buenas prácticas para la gestión de la Ciberseguridad (24/01/2018). • Creación del Jefe de Ciberseguridad dentro de la estructura del BCC (17/08/2018) • BCB - Reglamento de Seguridad Cibernética para EIF (26/4/2018) • BCB- Política de Seguridad Cibernética para Empresas de Pago (16/08/2018) REGLAMENTO DE SEGURIDAD CIBERNÉTICA Y DE LA INFORMACIÓN PARA EL SISTEMA FINANCIERO ¿Por qué el Reglamento? 1. Naturaleza interconectada de la infraestructura financiera dominicana. 2. Necesidad de reglas comunes. 3. Integridad de la información. Un sistema es tan fuerte como su eslabón más débil. Gestión integral del riesgo Reglamento Gestión Integral de Riesgos Riesgo de Mercado Riesgo de Crédito Riesgo de Liquidez Riesgo Operacional Otros Riesgos Reglamento Riesgo Operacional Riesgo Tecnológico Reglamento Seguridad Cibernética y de la Información Marco del Reglamento Objeto • Promover la adopción e implementación de prácticas para la gestión del riesgo de la Seguridad Cibernética y de la Información. Alcance • Establecer los principios y lineamientos generales para que los regulados procuren la integridad, disponibilidad y confidencialidad de la información; • Procurar el funcionamiento óptimo de los Sistemas de Información y de la Infraestructura Tecnológica. • Entidades de Intermediación Financiera (EIF); • Administradores y Participantes del Sistema de Pagos y Liquidación de Valores de la República Dominicana (SIPARD); Ámbito de Aplicación • Entidades de Apoyo y Servicios Conexos interconectadas con alguna EIF o el SIPARD. Estructura del Reglamento Disposiciones Generales 62 Artículos 4 Títulos Programa de Seguridad Cibernética y de la Información Coordinación Sectorial de Respuesta a Incidentes de Seguridad Disposiciones Finales TITULO I DISPOSICIONES GENERALES • Contiene las disposiciones generales que enmarcan y encauzan el resto del documento. • Amplio marco conceptual para homogeneizar criterios y definiciones utilizados comúnmente en materia de seguridad de la información y ciberseguridad, así como los necesarios para la aplicación de las disposiciones contenidas en el propio Reglamento. TITULO II PROGRAMA DE SEGURIDAD CIBERNÉTICA Y DE LA INFORMACIÓN • Hace referencia a la obligación de creación de un programa de seguridad cibernética y de la información, a ser desarrollado por cada entidad regulada. • Este programa deberá comprender los distintos aspectos relevantes para la gestión del riesgo tecnológico como son la implementación de estándares internacionales aplicables para manejar este tipo de riesgos, así como las autoevaluaciones, presentación de informes de cumplimiento, el monitoreo y la evaluación del programa. TITULO III COORDINACIÓN SECTORIAL DE RESPUESTA A INCIDENTES DE SEGURIDAD CIBERNÉTICA • Define y establece un esquema de cooperación y coordinación sectorial para la respuesta a incidentes de seguridad cibernética. • Se crea el Consejo Sectorial para la Respuesta a Incidentes de Seguridad Cibernética del Sector Financiero, integrado por representantes del sector público y privado. • Este Consejo Sectorial será el encargado, entre otros aspectos, de la coordinación de los esfuerzos de cooperación entre los diferentes regulados para la prevención, detección, manejo y recopilación de información sobre incidentes de seguridad cibernética. • Dispone la creación del Equipo de Respuesta a Incidentes de Seguridad Cibernética para el Sector Financiero (CSIRT, por sus siglas en inglés) el cual se encontrará bajo la dependencia administrativa de este Banco Central y cuya operatividad funcional será desarrollada y supervisada por el Consejo Sectorial mencionado en el párrafo anterior. • EL CSIRT será el encargado de definir acciones inmediatas para la prevención, detección, contención, erradicación y recuperación frente a incidentes de seguridad cibernética que afecten las entidades definidas en el objeto y alcance de este Reglamento. TITULO IV DISPOSICIONES FINALES • Régimen de consecuencias para los regulados por el incumplimiento de las referidas disposiciones. Se establece un régimen sancionatorio amparado en la Ley Monetaria y Financiera No. 183-02 del 21 de noviembre de 2002 y sus modificaciones, así como en el Reglamento de Sanciones. • Este régimen sancionatorio será aplicable para las entidades de intermediación financiera que infrinjan cualquiera de las disposiciones contenidas en este Reglamento y en los instructivos que fueren creados para su implementación. • Se establecen medidas precautorias aplicables a los administradores y participantes del Sistema de Pagos y Liquidación de Valores de la República Dominicana (SIPARD), así como para las entidades de apoyo y servicios conexos interconectadas con dichos administradores y participantes del SIPARD. • Estas medidas precautorias consisten en la exclusión temporal y en algunos casos definitiva de estos administradores y participantes del SIPARD cuando sea constatado un incumplimiento particular o recurrente de inobservancias de las disposiciones contenidas en el Reglamento o los Instructivos correspondientes. PUNTOS A RESALTAR Título II.- Programa de Seguridad Cibernética y de la Información Gestión del Riesgo Tecnológico • Autoevaluación de riesgos tecnológicos tomando en consideración el apetito de riesgo • Evaluación de riesgos tecnológicos a entidades interconectadas Elaboración de marco de control • Elaboración política interna de seguridad cibernética y de la información • Controles para la gestión activos de información, redes, sistemas de información e infraestructuras tecnológicas Monitoreo y evaluación del programa • Auditorías internas • Monitoreo de seguridad cibernética y de la información Estándares internacionales • Aplicables a los regulados que accedan a productos y servicios de proveedores internacionales • Aplicables a los proveedores tercerizados de servicios de producción de tarjetas bancarias y de tokens de identificación Informes de cumplimiento • Entidades de Intermediación Financiera (Superintendencia de Bancos) • Administradores y Participantes SIPARD, Entidades de Apoyo y Servicios Conexos (Banco Central) Titulo III.- Coordinación Sectorial Consejo Sectorial para la Respuesta a Incidentes de Seguridad Cibernética • Coordina esfuerzos del sector financiero para la gestión de la información relacionada a incidentes de Seguridad Cibernética. • Define prioridades y lineamientos para el funcionamiento del CSIRT Titulo III.- Coordinación Sectorial Equipo de Respuesta a Incidentes de Seguridad Cibernética (CSIRT) • Bajo la dependencia administrativa del BCRD y funcional del Consejo Sectorial • Define acciones inmediatas para la prevención, detección, contención, erradicación y recuperación frente a Incidentes de Seguridad Cibernética que afecten a los regulados Consejo Sectorial para la Respuesta a Incidentes de Seguridad Cibernética del Sector Financiero Miembros Permanentes con voz y voto (7 miembros - Delegables) De la Administración Monetaria y Financiera • Gobernador del Banco Central, quien preside el Consejo • Superintendente de Bancos • Contralor del Banco Central • Subgerente de Sistemas e Innovación Tecnológica del Banco Central Gremios del Sector Financiero Privado • Presidente de la Asociación de Bancos Comerciales de la República Dominicana (ABA) • Presidente del Comité de Seguridad de la Liga de Asociaciones de Ahorros y Prestamos Dominicana (LIDAAPI) • Presidente del Comité de Tecnología de la Asociación de Bancos de Ahorro y Crédito y Corporaciones de Crédito Consejo Sectorial para la Respuesta a Incidentes de Seguridad Cibernética del Sector Financiero Invitados Permanentes con voz (8 invitados - Delegables) De la Administración Monetaria y Financiera • Director del Equipo de Respuesta a Incidentes de Seguridad Cibernética (CSIRT) • Director de Seguridad Operativa del Banco Central • Director del Departamento de Sistemas y Tecnología del Banco Central • Director del Departamento de Seguridad Interna del Banco Central • Responsable de la Oficina de Gestión de Riesgos del Banco Central • Director del Departamento de Operaciones y Tecnología de la Superintendencia de Bancos • Un representante de la Superintendencia de Valores • Un representante de la Superintendencia de Pensiones Esquema de gobernanza a lo interno de las EIF Consejo Comité de Auditoría Comité de Nombramientos y Remuneraciones Comité de Gestión Integral de Riesgos Comité de Gestión de activos y pasivos (ALCO) Comités de Alta Gerencia (Riesgos de mercado, Crédito, Operacional, Liquidez, Seguridad Cibernética y de la Información) Comité Ejecutivo de Cumplimiento Comité Ejecutivo de Crédito Comité Ejecutivo de Tecnología Esquema de gobernanza a lo interno de las EIF Consejo Comité de Auditoría Comité de Nombramientos y Remuneraciones Comité de Gestión Integral de Riesgos Comité de Gestión de Activos y Pasivos (ALCO) Comité Ejecutivo se Cumplimiento Comité Ejecutivo se Crédito Comité Ejecutivo se Tecnología Comités de Alta Gerencia (Riesgos de Mercado, Crédito, Operacional, Liquidez, Seguridad Cibernética y de La Información) Unidad de Gestión Integral de Riesgos Riesgo de Mercado, Crédito, Operacional, Liquidez, Continuidad del Negocio entre otras Unidad de Seguridad Cibernética y de la Información Seguridad Operativa, Riesgo Tecnológico, Seguridad de Información, Continuidad de TI UNIDADES DE GESTIÓN UNIDADES ESPECIALIZADAS ¡Muchas gracias!
