Guía de implementación de un programa de gestión de riesgos de ciberseguridad en entidades de intermediación financiera

Abstract

La transformación digital, ha puesto a la Ciberseguridad a la altura de los riesgos establecidos por el acuerdo de Basilea II Basilea. En Latinoamérica, se ha comenzado a legislar respecto a Ciberseguridad de forma muy general. Es por esta razón, que se definió y realizó el presente trabajo, que entrega una guía para los gerentes de riesgo de cara a implementar la gestión de Ciberseguridad en Entidades de Intermediación Financiera, utilizando como base el Marco de Trabajo NIST (National Institute of Standards and Technology), De esta forma se resuelve el problema de cómo encarar la incorporación de la gestión del riesgo de Ciberseguridad en Entidades de Intermediación Financiera. Los métodos utilizados en la presente guía integran el proceso que parte desde la base del Marco de Trabajo NIST en su primer pilar que describe el IDENTIFICAR . Este va desde el entendimiento y estructura de la Organización, los cambios en el gobierno corporativo de riesgos, así como la propuesta de pasos a seguir para implementar la gestión y Cultura organizacional de cara a la Ciberseguridad, para finalmente cerrar el ciclo con una propuesta de gestión integral del riesgo de Ciberseguridad a partir de la metodología actualmente existente para la medición del riesgo operacional como punto base. Esta se fusiona luego con la propuesta de medición emitida por Common Vulnerability Scoring System CVSS, la cual integra en la forma de medición a la vulnerabilidad y la amenaza dentro el factor de probabilidad. Como base práctica se utilizó la metodología aplicada actualmente en una Entidad de Intermediación Financiera Boliviana, como un caso de éxito y ejemplo en dicho país. Esta metodología le ha permitido no solo gestionar los riesgos no financieros de forma integral, sino también de agregar valor a la Organización permitiendo asegurar sus pilares digitales como punta de lanza de su estrategia de negocio. Lo que permite avanzar maximizando la rentabilidad del accionista al contar con productos y servicios seguros y eficiente y con un apetito de riesgo claramente definido, controlado y gestionado.