1.
PROYECTO DE REGLAMENTO
DE SEGURIDAD CIBERNÉTICA
Y DE LA INFORMACIÓN
Fabiola Herrera
Subgerente de Sistemas e Innovación
Tecnológica

2.
ÍNDICE
1. Seguridad de la Información vs.
Seguridad Cibernética
2. Reglamento de Seguridad
Cibernética y de la Información para
el Sistema Financiero
3. Puntos a resaltar

3.
SEGURIDAD DE LA
INFORMACIÓN VS
SEGURIDAD
CIBERNÉTICA

4.
Normativas de Seguridad de la
Información
Desde el siglo XIX hasta la actualidad, los estados han desarrollado normativas enfocadas a la
clasificación y protección de la información en todos sus formatos y la preservación de su integridad,
disponibilidad y confidencialidad. Con el surgimiento del la computación digital, se ve la necesidad de
definir mecanismos para la protección de estos sistemas.
1889
Publicación de
la Ley de
Secretos
Oficiales sus
modificaciones
1947
Ley de
Seguridad
Nacional
1951
Decreto
Clasificación de
la Información
y sus
modificaciones
1980-1986
Creación
DNS e
inicio de
Internet
comercial
1986
Ley fraude y
abuso
computacional
1992
Lineamientos
para la Seguridad
de los Sistemas y
Redes de la
Información
1995
Nace el
estándar BS-
7799, futuro
ISO 270001
1999
Ley
Modernización
de Servicios
Financieros
2001-2004
Principios
Seguridad
de TI
2016
Directivas de
Seg.de la Red y
Sist, de la
Información y
GDPR
Era Digital (1975 - a la fecha)
1995
Ley de
Reforma de
Gestión de IT
2007
Agenda Global
de Ciberseguridad
ONU-UIT
2016
Elementos
Fundamentales
Ciberseguridad
Sector Financiero
1988
Carnegie
Mellon abre el
primer CERT
del mundo

5.
Relación entre Seguridad Cibernética
y Seguridad de la Información
Información
Informació
n
análoga
Seguridad de
la
Información
Seguridad
Cibernética
Elementos
vulnerables vía las
TIC
Sistemas,
Infraestructur
a
Informació
n
digital
Seguridad Cibernética
Protección de la
información en formato
digital y sistemas que la
sustentan frente a
amenazas cibernéticas.

6.
Regulación de Seguridad Cibernética:
¿Es necesaria y por qué?
Premisas
1. La tecnología abre la puertas al desarrollo de
todos los sectores, incluyendo el nuestro.
2. El ecosistema financiero se sustenta en una
red altamente interconectada entre varios
actores.
3. Todas nuestras actividades están relacionadas
con el mundo digital.

7.
Regulación de Seguridad Cibernética:
¿Es necesaria y por qué?
Las ciberamenazas atentan
contra la estabilidad financiera y
la confianza en el sector.
Se debe definir un marco
normativo para hacer frente a las
mismas y proteger la información
y las infraestructuras tecnológicas
de todas las entidades.

8.
Ciberataques exitosos
Banco Central de
Bangladesh
2016
• Robo de
credenciales SWIFT
Pérdida de 81
millones de dólares a
través de
transferencias
SWIFT desde su
cuenta de la Reserva
Federal de los
Estados Unidos
Banco Central de
Rusia
2016
• Ataque cibernético
avanzado
Pérdida de 31
millones de dólares
de cuentas que los
bancos comerciales
mantienen en este
Banco Central a
través de
transferencias
fraudulentas
Banco brasileño no
identificado
2017
• Ataque avanzado a
la infraestructura.
36 dominios y otros
activos en línea
confiscados por
hackers que usaban
este dominio para
infectar con malware
a los clientes
Banco de México
2018
• Ataque cibernético
avanzado
300 millones de
pesos mexicanos
sustraídos del
sistema financiero
mediante
transferencias no
autorizadas de al
menos 5 instituciones
financieras
Banco de Chile
2018
• Ataque cibernético
avanzado
10 millones de
dólares transferidos
hacia bancos del
sudeste asiático
mediante una
combinación de robo
de credenciales de
SWIFT e infección de
cientos de terminales
y servidores
La actual tendencia de ataques cibernéticos a entidades financieras como los expuestos a continuación, nos obliga a
definir mecanismos de protección y colaboración mutua contra estos.

9.
Ciberataques exitosos
La actual tendencia de ataques cibernéticos a entidades financieras como los expuestos a continuación, nos obliga a
definir mecanismos de protección y colaboración mutua contra estos.
Scotiabank, BBVA e
Interbank Perú
(2018)
• Ataque cibernético
avanzado
• Perdida de la
disponibilidad de los
servicios por ataque
combinado mediante
botnets y phishing
para infectar la
plataforma de estos
bancos con una
variante del
ransomware SAMAS.
Banco Central de
Bahamas
(2018)
• Brecha de
Seguridad
En el marco de la
campaña #OpIcarus,
El colectivo de
hackers Anonymous
filtró las bases de
datos del Banco
Central de Bahamas
y las publicó en la
web
Cosmos Bank
India
(2018)
• Hackeo de Cajeros
Automáticos y de
sistemas
11 millones de
dólares sustraídos de
cajeros automáticos
comprometidos
2 millones de dólares
transferidos
ilegalmente hacia
cuentas en el
extranjero

10.
Regulaciones ciber vigentes a
nivel mundial
Estados
Unidos
•FFIEC – Manual de
Seguridad de la
Información
(09/16)
•FFIEC Cybersecurity
Assessment Tool
(04/17)
•FED - Estándares
mejorados para el
manejo del riesgo
cibernético. (En
redacción desde
26/10/2016)
Unión
Europea
•Estrategia del
Sistema Europeo
para la ciber-
resiliencia de
Entidades del
Mercado
Financiero
(03/2017)
•Medidas
concernientes a
un alto nivel
común de
seguridad de las
redes y los
México
•Reglamento de
Ciberseguridad –
Banco de México
(07/2017)
Conformación
Dirección de
Ciberseguridad –
Banco de México
(16/5/2018)
Chile
•SBIF -
Lineamientos y
buenas prácticas
para la gestión de
la Ciberseguridad
(24/01/2018).
•Creación del Jefe
de
Ciberseguridad
dentro de la
estructura del
BCC
(17/08/2018)
Brasil
•BCB - Reglamento
de Seguridad
Cibernética para
EIF (26/4/2018)
•BCB- Política de
Seguridad
Cibernética para
Empresas de Pago
(16/08/2018)

11.
REGLAMENTO DE SEGURIDAD
CIBERNÉTICA Y DE LA
INFORMACIÓN PARA EL SISTEMA
FINANCIERO

12.
¿Por qué el Reglamento?
1. Naturaleza interconectada de la
infraestructura financiera
dominicana.
2. Necesidad de reglas comunes.
3. Integridad de la información.
Un sistema es tan fuerte como su
eslabón más débil.

13.
Gestión integral del riesgo
Reglamento
Gestión Integral
de Riesgos
Riesgo de
Mercado
Riesgo de
Crédito
Riesgo de
Liquidez
Riesgo
Operacional
Reglamento
Riesgo
Operacional
Otros Riesgos
Riesgo
Tecnológico
Reglamento
Seguridad
Cibernética y de
la Información

14.
Marco del Reglamento
Objeto
• Promover la adopción e implementación de prácticas para la gestión del riesgo de la
Seguridad Cibernética y de la Información.
Alcance
• Establecer los principios y lineamientos generales para que los regulados procuren la
integridad, disponibilidad y confidencialidad de la información;
• Procurar el funcionamiento óptimo de los Sistemas de Información y de la
Infraestructura Tecnológica.
Ámbito de
Aplicación
• Entidades de Intermediación Financiera (EIF);
• Administradores y Participantes del Sistema de Pagos y Liquidación de Valores de la
República Dominicana (SIPARD);
• Entidades de Apoyo y Servicios Conexos interconectadas con alguna EIF o el SIPARD.

15.
Estructura del Reglamento
6
2
Artícul
os
4
Títulos
Disposiciones Generales
Programa de Seguridad
Cibernética y de la
Información
Coordinación Sectorial de
Respuesta a Incidentes de
Seguridad
Disposiciones Finales

16.
TITULO I
DISPOSICIONES GENERALES
• Contiene las disposiciones generales que enmarcan y
encauzan el resto del documento.
• Amplio marco conceptual para homogeneizar criterios y
definiciones utilizados comúnmente en materia de seguridad de
la información y ciberseguridad, así como los necesarios para
la aplicación de las disposiciones contenidas en el propio
Reglamento.

17.
TITULO II
PROGRAMA DE SEGURIDAD CIBERNÉTICA Y DE LA
INFORMACIÓN
• Hace referencia a la obligación de creación de un programa de
seguridad cibernética y de la información, a ser desarrollado
por cada entidad regulada.
• Este programa deberá comprender los distintos aspectos
relevantes para la gestión del riesgo tecnológico como son la
implementación de estándares internacionales aplicables para
manejar este tipo de riesgos, así como las autoevaluaciones,
presentación de informes de cumplimiento, el monitoreo y la
evaluación del programa.

18.
TITULO III
COORDINACIÓN SECTORIAL DE RESPUESTA A
INCIDENTES DE SEGURIDAD CIBERNÉTICA
• Define y establece un esquema de cooperación y coordinación sectorial para la respuesta a
incidentes de seguridad cibernética.
• Se crea el Consejo Sectorial para la Respuesta a Incidentes de Seguridad Cibernética del
Sector Financiero, integrado por representantes del sector público y privado.
• Este Consejo Sectorial será el encargado, entre otros aspectos, de la coordinación de los
esfuerzos de cooperación entre los diferentes regulados para la prevención, detección,
manejo y recopilación de información sobre incidentes de seguridad cibernética.
• Dispone la creación del Equipo de Respuesta a Incidentes de Seguridad Cibernética para el
Sector Financiero (CSIRT, por sus siglas en inglés) el cual se encontrará bajo la
dependencia administrativa de este Banco Central y cuya operatividad funcional será
desarrollada y supervisada por el Consejo Sectorial mencionado en el párrafo anterior.
• EL CSIRT será el encargado de definir acciones inmediatas para la prevención, detección,
contención, erradicación y recuperación frente a incidentes de seguridad cibernética que
afecten las entidades definidas en el objeto y alcance de este Reglamento.

19.
TITULO IV
DISPOSICIONES FINALES
• Régimen de consecuencias para los regulados por el incumplimiento de las referidas disposiciones.
Se establece un régimen sancionatorio amparado en la Ley Monetaria y Financiera No. 183-02 del
21 de noviembre de 2002 y sus modificaciones, así como en el Reglamento de Sanciones.
• Este régimen sancionatorio será aplicable para las entidades de intermediación financiera que
infrinjan cualquiera de las disposiciones contenidas en este Reglamento y en los instructivos que
fueren creados para su implementación.
• Se establecen medidas precautorias aplicables a los administradores y participantes del Sistema
de Pagos y Liquidación de Valores de la República Dominicana (SIPARD), así como para las
entidades de apoyo y servicios conexos interconectadas con dichos administradores y participantes
del SIPARD.
• Estas medidas precautorias consisten en la exclusión temporal y en algunos casos definitiva de
estos administradores y participantes del SIPARD cuando sea constatado un incumplimiento
particular o recurrente de inobservancias de las disposiciones contenidas en el Reglamento o los
Instructivos correspondientes.

20.
PUNTOS A
RESALTAR

21.
Título II.- Programa de Seguridad
Cibernética y de la Información
Gestión del Riesgo Tecnológico
• Autoevaluación de riesgos tecnológicos tomando en consideración el apetito de riesgo
• Evaluación de riesgos tecnológicos a entidades interconectadas
Elaboración de marco de control
• Elaboración política interna de seguridad cibernética y de la información
• Controles para la gestión activos de información, redes, sistemas de información e infraestructuras tecnológicas
Monitoreo y evaluación del programa
• Auditorías internas
• Monitoreo de seguridad cibernética y de la información
Estándares internacionales
• Aplicables a los regulados que accedan a productos y servicios de proveedores internacionales
• Aplicables a los proveedores tercerizados de servicios de producción de tarjetas bancarias y de tokens de identificación
Informes de cumplimiento
• Entidades de Intermediación Financiera (Superintendencia de Bancos)
• Administradores y Participantes SIPARD, Entidades de Apoyo y Servicios Conexos (Banco Central)

22.
Titulo III.- Coordinación
Sectorial
Consejo Sectorial para la Respuesta a
Incidentes de Seguridad Cibernética
•Coordina esfuerzos del sector financiero para
la gestión de la información relacionada a
incidentes de Seguridad Cibernética.
•Define prioridades y lineamientos para el
funcionamiento del CSIRT

23.
Equipo de Respuesta a Incidentes de
Seguridad Cibernética (CSIRT)
•Bajo la dependencia administrativa del BCRD y
funcional del Consejo Sectorial
•Define acciones inmediatas para la prevención,
detección, contención, erradicación y
recuperación frente a Incidentes de Seguridad
Cibernética que afecten a los regulados
Titulo III.- Coordinación
Sectorial

24.
Consejo Sectorial para la Respuesta a
Incidentes de Seguridad Cibernética del
Sector Financiero
De la Administración
Monetaria y Financiera
• Gobernador del Banco Central, quien preside el
Consejo
• Superintendente de Bancos
• Contralor del Banco Central
• Subgerente de Sistemas e Innovación
Tecnológica del Banco Central
Gremios del Sector
Financiero Privado
• Presidente de la Asociación de Bancos
Comerciales de la República Dominicana (ABA)
• Presidente del Comité de Seguridad de la Liga de
Asociaciones de Ahorros y Prestamos
Dominicana (LIDAAPI)
• Presidente del Comité de Tecnología de la
Asociación de Bancos de Ahorro y Crédito y
Corporaciones de Crédito
Miembros Permanentes con voz y voto (7 miembros - Delegables)

25.
Consejo Sectorial para la Respuesta a
Incidentes de Seguridad Cibernética del
Sector Financiero
• Director del Equipo de Respuesta a Incidentes de
Seguridad Cibernética (CSIRT)
• Director de Seguridad Operativa del Banco Central
• Director del Departamento de Sistemas y Tecnología
del Banco Central
• Director del Departamento de Seguridad Interna del
Banco Central
• Responsable de la Oficina de Gestión de Riesgos del
Banco Central
• Director del Departamento de Operaciones y
Tecnología de la Superintendencia de Bancos
• Un representante de la Superintendencia de Valores
• Un representante de la Superintendencia de
De la
Administración
Monetaria y
Financiera
Invitados Permanentes con voz (8 invitados - Delegables)

26.
Consejo
Comité de
Auditoría
Comité de
Nombramientos y
Remuneraciones
Comité de Gestión
Integral de Riesgos
Comités de Alta Gerencia
(Riesgos de mercado, Crédito, Operacional,
Liquidez, Seguridad Cibernética y de la
Información)
Comité de Gestión de
activos y pasivos
(ALCO)
Comité Ejecutivo
de Cumplimiento
Comité Ejecutivo
de Crédito
Comité Ejecutivo
de Tecnología
Esquema de gobernanza a lo interno
de las EIF

27.
UNIDADES DE GESTIÓN
UNIDADES ESPECIALIZADAS
Consejo
Comité de Auditoría
Comité de
Nombramientos y
Remuneraciones
Comité de Gestión
Integral de Riesgos
Comités de Alta Gerencia
(Riesgos de Mercado, Crédito, Operacional, Liquidez, Seguridad
Cibernética y de La Información)
Unidad de Gestión Integral
de Riesgos
Riesgo de Mercado, Crédito, Operacional,
Liquidez, Continuidad del Negocio entre otras
Unidad de Seguridad
Cibernética y de la
Información
Seguridad Operativa, Riesgo
Tecnológico, Seguridad de
Información, Continuidad de TI
Comité de Gestión de
Activos y Pasivos
(ALCO)
Comité Ejecutivo
se Cumplimiento
Comité Ejecutivo
se Crédito
Comité Ejecutivo
se Tecnología
Esquema de gobernanza a lo interno
de las EIF

28.
¡Muchas gracias!