WHITEPAPER · REGULACIÓN BANCARIA

Seguridad cibernética desde la óptica del Banco Central.

Cómo la gestión continua de superficie de ataque externa apoya a las instituciones autorizadas por el Banco Central para cumplir con las exigencias de seguridad cibernética de las Resoluciones CMN nº 4.893/2021 y nº 4.557/2017 —con descubrimiento de activos, validación de explotabilidad y evidencia auditables.

Público: CISOs, áreas de riesgo y cumplimiento, dirección Sector: Instituciones financieras y de pago Tema: Cumplimiento regulatorio y exposición externa

RESUMEN EJECUTIVO

¿Qué aborda este documento

El Consejo Monetario Nacional (CMN) y el Banco Central de Brasil establecieron un marco regulatorio que obliga a las instituciones financieras y de pago a mantener una política formal de seguridad cibernética, a gestionar los riesgos cibernéticos como parte de su estructura de gestión de riesgos y a controlar los riesgos asociados con la contratación de servicios de procesamiento, almacenamiento de datos y computación en la nube.

Este marco se orienta a principios y resultados: exige que la institución demuestre, de manera documentada y verificable, que conoce sus activos, identifica sus vulnerabilidades, evalúa sus riesgos, prueba sus controles y responde a incidentes — sin prescribir una herramienta específica para cada obligación. La fiscalización del Banco Central opera sobre evidencia; declaraciones de intención, sin respaldo técnico, son insuficientes.

La mayor parte de las superficies de ataque actualmente explotadas comienzan fuera del perímetro tradicional: dominios y subdominios olvidados, ambientes de homologación expuestos, activos de subsidiarias y de la cadena de proveedores, credenciales corporativas filtradas y servicios en la nube mal configurados. Es exactamente esa capa —la superficie de ataque externa— que la CSURFACE descubre, monitorea y prioriza continuamente.

Este whitepaper mapea, de manera temática, los requisitos de seguridad cibernética de la regulación del Banco Central a las capacidades de la plataforma CSURFACE, delimitando con precisión el alcance de cobertura: la CSURFACE actúa sobre la exposición externa y produce evidencia técnica auditables; ella apoya la conformidad —no la reemplaza. La gobernanza, la definición de políticas, la respuesta a incidentes y los controles internos permanecen bajo responsabilidad de la institución.

1 · CONTEXTO REGULADOR

¿Qué exige el Banco Central?

La seguridad cibernética de las instituciones reguladas por el Banco Central de Brasil se basa en dos resoluciones del Consejo Monetario Nacional que complementan entre sí: una trata específicamente sobre la política de seguridad cibernética y la nube; la otra trata de la estructura de gestión de riesgos, en la cual se inscribe el riesgo cibernético.

Resolución CMN nº 4.893, de 26 de febrero de 2021

La Resolución CMN nº 4.893/2021 establece la política de seguridad cibernética y los requisitos para la contratación de servicios de procesamiento y almacenamiento de datos y computación en la nube por instituciones autorizadas a funcionar por el Banco Central. Consolidó e actualizó el marco anteriormente establecido por la Resolución CMN nº 4.658/2018.

En términos generales, la 4.893/2021 requiere que la institución:

  • implemente y mantenga una política de seguridad cibernética formal, aprobada por la alta administración y compatible con el porte, el perfil de riesgo y el modelo de negocio de la institución;
  • adote controles para prevenir y tratar incidentes relevantes, incluyendo un plan de respuesta y la comunicación de incidentes;
  • realice evaluaciones y pruebas periódicas de sus controles de seguridad;
  • controle los riesgos de contratación de servicios en la nube y de terceros relevantes para el procesamiento de datos, con diligencia previa y monitoreo continuo del proveedor;
  • designe un diretor responsable por la política de seguridad cibernética y divulgue al público sus líneas generales.

Resolución CMN nº 4.557, de 23 de febrero de 2017

La Resolución CMN nº 4.557/2017 establece la estructura de gestión de riesgos y capital de las instituciones financieras. Requiere una estructura de gestión continua e integrada de riesgos, abarcando, entre otros, el riesgo operacional, en el cual se incluyen los riesgos derivados de fallos de seguridad de la información y sistemas, y el riesgo asociado a la tercerización.

En conjunto, las dos resoluciones establecen que el riesgo cibernético no es un asunto solo técnico: debe ser identificado, medido, evaluado, monitoreado, controlado y reportado dentro de la estructura formal de gestión de riesgos de la institución, con roles definidos y rendición de cuentas a la alta administración.

Las Resoluciones CMN nº 4.893/2021 y nº 4.557/2017 están orientadas a principios. Requieren capacidad demostrable —conocer activos, identificar vulnerabilidades, evaluar riesgos, probar controles y responder a incidentes— sin prescribir productos. La conformidad se prueba con un proceso documentado y evidencia verificable. Síntesis temática —no reemplaza la lectura integral de las normas.

A quién se aplica. El marco abarca instituciones autorizadas a funcionar por el Banco Central de Brasil —bancos, cooperativas de crédito, instituciones de pago y otras entidades supervisadas—, teniendo en cuenta su porte y la naturaleza de sus operaciones. Otras normas sectoriales y la regulación aplicable a las instituciones de pago complementan este conjunto, pero mantienen la misma lógica: política formal, gestión de riesgos y demostración de control.

2 · REQUISITOS-CHAVE

Lo que la regulación pide, en práctica

Levantando las Resoluciones CMN nº 4.893/2021 y nº 4.557/2017 de manera temática, siete áreas concentran las exigencias de seguridad cibernética que tocan directamente a la superficie de ataque.

Política formal de seguridad cibernética

Una política aprobada por la alta administración, compatible con el porte y el perfil de riesgo de la institución, con objetivos, directrices y responsabilidades de seguridad de la información claramente establecidos.

Gestión de riesgos cibernéticos

El riesgo cibernético tratado dentro del marco de gestión de riesgos: identificado, medido, evaluado, monitoreado y reportado de manera continua e integrada, con rendición de cuentas a la dirección.

Plan de respuesta a incidentes

Procedimientos y controles para prevención, detección y tratamiento de incidentes relevantes, con registro, clasificación, análisis de causa y comunicación a los involucrados y al regulador cuando sea aplicable.

Identificación e inventario de activos

La institución debe conocer los activos de información que sostienen sus operaciones —incluyendo los expuestos a internet— para poder protegerlos. No se gestiona el riesgo del que no se ve.

Pruebas y evaluaciones periódicas

Evaluación periódica de la efectividad de los controles de seguridad, identificación de vulnerabilidades y verificación de que las correcciones aplicadas eficazmente redujeron la exposición.

Nube y riesgo de terceros

Diligencia previa y monitoreo continuo de proveedores de servicios de procesamiento, almacenamiento de datos y computación en la nube —y de la cadena de suministro relevante para la operación.

Governancia: director responsable, revisión anual y transparencia

Designación de un director responsable por la política de seguridad cibernética, revisión y actualización periódica de los documentos y controles, y divulgación al público de las líneas generales de la política. La gobernanza cierra el ciclo: define quién responde, con qué frecuencia se revisa y lo que se comunica.

3 · COMO LA CSURFACE SE ADAPTA

Desde la regulación hasta las capacidades de la plataforma

La CSURFACE es una plataforma de gestión de superficie de ataque externa. No abarca toda la regulación —se centra en profundidad en la capa de exposición externa, que concentra la mayor parte del origen de los vectores de ataque explotados contra instituciones financieras. A continuación, cada área reguladora se mapea a la capacidad correspondiente de la plataforma.

Identificación e inventario de activos: descubrimiento continuo

La regulación exige que la institución conozca los activos que sostienen sus operaciones. En la práctica, lo que más frecuentemente escapa al control es lo que opera fuera del conocimiento de la área de seguridad: subdominios abandonados, entornos de homologación publicados sin control, activos de subsidiarias incorporadas, certificados y servicios expuestos por equipos sin interfaz formal con la función de seguridad de la información. El inventario oficial registra solo lo que ya es conocido.

La CSURFACE descubre continuamente la superficie de ataque externa de la institución utilizando Machine Learning para correlacionar dominios, certificados, bloques de red, servicios y tecnologías e atribuirlos a la organización —incluyendo el shadow IT y la presencia digital de proveedores. El resultado es un inventario externo dinámico, actualizado de forma automática y continua conforme evoluciona la superficie de exposición —no un levantamiento puntual susceptible a deteriorarse inmediatamente. Cada activo descubierto se clasifica por criticidad, proporcionando a la área de riesgo la base factual necesaria para la priorización estructurada del tratamiento.

Gestión de riesgos cibernéticos: priorización y cuantificación

Identificar activos y vulnerabilidades es condición necesaria, pero no suficiente; la regulación exige que el riesgo sea cualitativo, evaluado y reportado. La CSURFACE prioriza las exposiciones por su real explotabilidad — cruzando inteligencia de amenazas, exploits activos y catálogos de explotación activa con la criticidad de cada activo. El resultado es una lista de riesgos ordenada y objetivamente justificable, que reemplaza el volumen indistinto de hallazgos por una agenda de tratamiento estructurada.

Para la estructura de gestión de riesgos requerida por la Resolución CMN nº 4.557/2017, la CSURFACE traduce la exposición externa en cuantificación de riesgo en valor financiero — métrica asimilable por el directorio y área de riesgo, directamente integrable al informe formal de riesgo operacional. El riesgo cibernético se expresa en magnitud comparable a los demás riesgos de la institución, permitiendo decisiones de tratamiento basadas en criterios objetivos e hierarquizados.

Pruebas y evaluaciones periódicas: validación de explotabilidad

La regulación espera una evaluación periódica de la efectividad de los controles. La CSURFACE opera de forma continua — no en ciclos anuales — y, donde hay módulos de prueba disponibles, valida activamente la explotabilidad de una exposición, confirmando si es realmente atacable. En otros casos, la evaluación es pasiva, con correspondencia de versión y configuración. Cuando se aplica una corrección, la plataforma reevalúa el activo y confirma si el camino de ataque fue efectivamente cerrado.

Nube y riesgo de terceros: cadena de proveedores

La Resolución CMN nº 4.893/2021 dedica atención específica a la contratación de servicios en nube y a la tercera parte relevante. La CSURFACE monitorea la superficie de ataque externa de proveedores y prestadores de la cadena digital, identificando exposiciones en terceros que pueden convertirse en riesgo para la institución contratante. Para servicios en nube, la descubierta identifica activos y servicios publicados en proveedores de nube y señala configuraciones expuestas observables externamente.

Es necesario delimitar el alcance con precisión: La CSURFACE evalúa al tercero a partir de su exposición externa observable. La diligencia contractual, la evaluación de cláusulas, la verificación de localización de datos y la auditoría del proveedor permanecen procesos de la institución —la plataforma proporciona el componente técnico de monitoreo continuo que sustenta y documenta estos procesos.

Plan de respuesta a incidentes: vigilancia de credenciales filtradas y alertas

Un plan de respuesta a incidentes efectivo depende de la detección temprana. La CSURFACE monitorea el filtrado de credenciales corporativas en fuentes públicas y en la deep y dark web, alertando cuando datos de acceso de la institución o sus colaboradores aparecen expuestos —a menudo el primer indicio de un compromiso inminente.

Cuando se descubre una exposición crítica, la plataforma emite alertas priorizadas con contexto y sugerencia de corrección, alimentando el proceso de respuesta de la institución. La CSURFACE proporciona el gatillo y la evidencia técnica; la estructura de respuesta — equipo, procedimientos, comunicación al regulador y análisis de causa— es operada por la institución según su política.

Política y gobierno: traza auditiva de evidencias

La política formal, la designación del director responsable y la revisión periódica son actos de gobierno que caben a la institución. Lo que ofrece la CSURFACE es el ingrediente factual que da sustancia a este gobierno: un registro continuo y datado de la superficie de ataque, de las exposiciones identificadas, de las priorizaciones y del avance en la remediación a lo largo del tiempo. La revisión anual de la política pasa a fundamentarse en datos objetivos sobre cómo la exposición externa de la institución evolucionó durante el período, con evidencia factual.

Mapa de cobertura

Área reguladoraCoberturaCómo la CSURFACE contribuye
Identificación e inventario de activos Plataforma Descubrimiento continuo de la superficie externa por Machine Learning — dominios, servicios, nube, shadow IT — con clasificación automática de criticidad. Cubre lo expuesto a internet; el inventario interno de la red permanece en la institución.
Gestión de riesgos cibernéticos Compartida Priorización por real explotabilidad y cuantificación del riesgo en valor financiero, listos para el informe de riesgo operacional. La integración a la estructura formal de riesgo y las decisiones de tratamiento son de la institución.
Pruebas y evaluaciones periódicas Plataforma Evaluación continua de la superficie externa; validación activa de explotabilidad donde hay módulos disponibles y detección pasiva en otros casos; reevaluación después de corrección. Complementa, no sustituye, el pentest formal.
Nube y riesgo de terceros Compartida Monitoreo continuo de la superficie externa de proveedores e activos en nube. La diligencia contractual, la auditoría y la evaluación jurídica del proveedor son procesos de la institución.
Plan de respuesta a incidentes Compartida Monitoreo de credenciales filtradas y alertas priorizadas de exposiciones críticas — gatillo y evidencia para la respuesta. La operación del plan, el equipo y la comunicación al regulador son de la institución.
Política formal de seguridad cibernética Compartida Proporciona datos continuos de la exposición externa que dan sustancia y base factual a la política. La redacción, la aprobación y el mantenimiento de la política son de la institución.
Gobernanza, revisión e transparencia Compartida Traza auditiva y datada de exposiciones y remediaciones, útil para la revisión periódica y la presentación pública. La designación del director responsable y la divulgación pública son actos de la institución.
Sobre este mapa.  Plataforma indica áreas en las que la CSURFACE entrega la capacidad técnica directamente, sobre la superficie externa. Compartida indica áreas en las que la plataforma proporciona datos, evidencias y capacidades, pero la conformidad depende de procesos, decisiones e gobierno institucional. La CSURFACE apoya la conformidad con las Resoluciones CMN nº 4.893/2021 y nº 4.557/2017 — no la confiere automáticamente y no reemplaza la estructura interna de riesgo, cumplimiento e seguridad de la información.

4 · EVIDENCIA PARA LA FISCALIZACIÓN

La conformidad se demuestra con evidencias

La supervisión del Banco Central requiere evidencia verificable — no declaraciones de intención. El regulador espera registros que demuestren que los controles existen, operan de forma efectiva y son periodicamente revisados. CSURFACE fue diseñada para producir este registro de manera continua, datada e exportable.

Inventario externo datado

Un registro continuo de la superficie de ataque externa, con fecha de descubrimiento de cada activo — demuestra que la institución mantiene visibilidad actualizada sobre lo que expone a internet.

Historial de exposiciones

Cada exposición identificada se registra con severidad, criticidad del activo y fundamentación para la priorización — un rastro que comprueba que el riesgo fue identificado y evaluado, no ignorado.

Evidencia de remediación

La verificación posterior a la corrección registra cuando una exposición fue abierta y cuándo fue eficazmente cerrada — prueba objetiva de que el ciclo de tratamiento funciona.

Validación de exploitabilidad

Donde hay validación activa, el registro muestra que la evaluación confirmó — o descartó — la exploitabilidad real, respaldando decisiones de riesgo con base técnica.

Monitoreo de terceros

Registros de exposición externa de proveedores relevantes, que dan sustancia al monitoreo continuo de prestadores requerido para servicios en la nube y outsourcing.

Reportes exportables

Vistas ejecutivas y técnicas exportables — para la revisión anual de la política, el reporte de riesgo operacional a la dirección y el cumplimiento de demandas de supervisión.

CSURFACE produce la evidencia técnica relacionada con la exposición externa. Corresponde a la institución organizarla dentro de su programa de conformidad, articularla con los controles internos restantes y presentarla a la fiscalización en el contexto de su política y estructura de gestión de riesgos.

5 · CONCLUSIÓN

La herramienta correcta para la capa correcta

Las Resoluciones CMN nº 4.893/2021 y nº 4.557/2017 no prescriben una tecnología específica —exigen capacidad demostrable. Exigen que la institución conozca lo que expone a internet, mida el riesgo que esto representa, teste sus controles, monitoree a sus proveedores y responda a incidentes, todo dentro de un marco de gobierno con roles definidos y rendición de cuentas ante la alta administración.

La mayor parte de esta exigencia se materializa en la superficie de ataque externa —y es precisamente ahí donde la CSURFACE actúa con profundidad. Descubrimiento continuo de activos por Machine Learning, priorización por explotabilidad real, validación, monitoreo de credenciales filtradas, vigilancia de la cadena de proveedores y cuantificación del riesgo en términos financieros: cada una de estas capacidades responde directamente a una área de regulación y produce la evidencia auditada que la supervisión espera.

La CSURFACE no promete conformidad automática, y ninguna plataforma responsable lo haría. La política, el gobierno, la respuesta a incidentes y los controles internos permanecen bajo responsabilidad de la institución. Lo que la CSURFACE ofrece es la base técnica más sólida disponible para la capa externa: visibilidad continua de la superficie de exposición, riesgo cuantificado en términos financieros y una traza de evidencias estructuradas para la supervisión. Para la institución regulada por el Banco Central, estos elementos representan la diferencia entre presentar declaraciones de conformidad y demostrarlas con datos verificables.

PREGUNTAS FRECUENTES

FAQ

¿Garantiza CSURFACE la conformidad con la regulación del Banco Central?

No. Ninguna herramienta garantiza la conformidad de manera automática. CSURFACE proporciona capacidades y evidencia auditables que apoyan a la institución en el cumplimiento de las Resoluciones CMN nº 4.893/2021 y nº 4.557/2017 —específicamente en la capa de exposición externa. La política, la gobernanza y los controles internos siguen siendo responsabilidad de la institución.

¿Cubre CSURFACE toda la regulación de seguridad cibernética?

No. CSURFACE es una plataforma de gestión de superficie de ataque externa. Cubre con profundidad la descubrimiento de activos expuestos, la priorización del riesgo, la validación de explotabilidad, el monitoreo de credenciales y de terceros. Los controles internos, la seguridad de los puntos finales, los procesos de RH y la gobernanza no forman parte de su ámbito.

¿Reemplaza CSURFACE los tests de intrusión requeridos?

No — complementa. CSURFACE opera de manera continua y reduce la ventana de exposición no monitoreada entre evaluaciones formales, validando la explotabilidad de la superficie externa donde existen módulos disponibles. Los tests de intrusión periódicos siguen siendo una práctica recomendada y necesaria para el cumplimiento completo.

¿Cómo ayuda CSURFACE en la revisión anual y en la presentación de cuentas?

La plataforma mantiene un registro continuo y datado de la superficie de ataque, las exposiciones y la remediación. Este historial proporciona una base factual para la revisión periódica de la política, para el informe del riesgo operacional a la dirección y para el cumplimiento de demandas de supervisión.

¿Atiende CSURFACE instituciones de pago, además de bancos?

Sí. Las exigencias de la política de seguridad cibernética y gestión del riesgo abarcan instituciones autorizadas por el Banco Central en forma amplia, considerando tamaño y perfil. La superficie de ataque externa debe ser gestionada en cualquier institución que ofrezca servicios digitales.

Ver su exposición externa antes de la inspección.

Proporcione el dominio de su institución y reciba una análisis preliminar de la superficie de ataque externa —el punto de partida factual para sostener la conformidad con las Resoluciones CMN nº 4.893/2021 y nº 4.557/2017.

Recibir análisis preliminar