CONFORMIDAD · BACEN

Evidencia técnica para la regulación de ciberseguridad del Banco Central.

Las Resoluciones CMN 4.893 y 4.557 exigen a las instituciones autorizadas por el Banco Central una postura de seguridad cibernética demostrable, respaldada por evidencia técnica. La CSURFACE produce, de forma continua y auditables, la evidencia técnica que sostiene esta demostración.

¿QUÉ REQUIERE LA REGULACIÓN?

Ciberseguridad que necesita ser comprobada

La Resolución CMN nº 4.893, de 2021, determina que las instituciones autorizadas por el Banco Central mantengan una política formal de seguridad cibernética y cumplan con requisitos específicos para la contratación de servicios de procesamiento, almacenamiento de datos y computación en nube. La Resolución CMN nº 4.557, de 2017, establece la estructura de gestión continua de riesgos, incluyendo el riesgo asociado a proveedores relevantes.

El punto en común es la exigencia de evidencias. En una inspección, no basta tener la política en papel: se necesita demostrar, con datos técnicos, que los controles están operando —que los activos son conocidos, que las exposiciones son testadas, que los proveedores son monitoreados y que la alta dirección recibe esta información. Reunir estas evidencias manualmente, con hojas de cálculo y verificaciones puntuales, es un trabajo de semanas cada ciclo.

CSURFACE automatiza la recolección de estas evidencias sobre la superficie de ataque externa de la institución —de forma continua e exportable para la inspección.

COBERTURA

Cómo la CSURFACE apoya cada exigencia

La plataforma actúa sobre la exposición externa —la parte de la superficie de ataque accesible por internet.

1

Política de seguridad cibernética

La regulación exige una política formal de seguridad cibernética. La CSURFACE genera la evidencia técnica de que dicha política se está ejecutando en la práctica —en la descubierta de activos, el monitoreo de credenciales y la validación de exposiciones.

2

Inventario continuo de activos

La institución necesita conocer y mantener actualizado el inventario de sus activos. La CSURFACE descubre continuamente la superficie de ataque externa, clasifica cada activo por criticidad de negocio y registra una traza auditiva de cada cambio.

3

Pruebas y evaluaciones periódicas

La norma prevé la evaluación periódica de los controles y las vulnerabilidades. La CSURFACE valida exposiciones de forma continua y produce evidencia verificable de cada prueba, siempre actualizada durante todo el período.

4

Riesgo de proveedores y nube

La Resolución 4.893 trata sobre la contratación de servicios en nube y la 4.557 sobre la evaluación de proveedores relevantes. La CSURFACE mapea la cadena digital de proveedores incorporada en sus activos e inicia un seguimiento continuo de la exposición de cada tercero.

5

Respuesta a incidentes

La regulación exige un plan de respuesta a incidentes. Al monitorear credenciales corporativas filtradas y amenazas emergentes, la CSURFACE reduce el intervalo entre el compromiso y la detección, proporcionando al plan de respuesta un disparador más rápido.

6

Reporte a la alta dirección

La política debe ser supervisada por la administración superior. La CSURFACE entrega informes periódicos con el progreso del riesgo traducido en valor financiero, listos para el comité de riesgos y la alta dirección.

WHITEPAPER

Conformidad BACEN en seguridad cibernética con la CSURFACE

El documento completo: lo que exigen las Resoluciones 4.893 y 4.557, requisito a requisito, y cómo la CSURFACE sostiene la evidencia de cada uno.

Leer el whitepaper →

PREGUNTAS FRECUENTES

FAQ

¿Garantiza CSURFACE la conformidad con el BACEN?

La conformidad es responsabilidad de la institución. CSURFACE proporciona las capacidades técnicas y la evidencia continua y auditada que respaldan varios de los requisitos de las Resoluciones 4.893 y 4.557 —especialmente los relacionados con la exposición externa.

¿Qué parte de la regulación cubre CSURFACE?

La parte relacionada con la superficie de ataque externa: inventario de activos expuestos, evaluación continua de vulnerabilidades, riesgo de cadena de proveedores y evidencia para el informe a la dirección. La plataforma no analiza la red interna.

¿La evidencia sirve para la fiscalización?

Sí. CSURFACE mantiene una traza auditada de las descubrimientos, clasificaciones y pruebas, exportables en el formato necesario para demostrar la operación de los controles.

¿Cuánto tiempo lleva tener la evidencia disponible?

La descubrimiento comienza a producir datos en horas y se consolida en los primeros días — sin el ciclo de implementación de los escáneres tradicionales.

Inicie con la evidencia de su exposición externa.

Proporcione el dominio de la institución y reciba una análisis preliminar de la superficie de ataque. Sin tarjeta, sin reunión.

Recibir análisis preliminar