El sector financiero siempre ha sido un objetivo principal para los ataques cibernéticos debido al alto valor y la sensibilidad de los datos que posee. En los últimos años, el panorama de las amenazas se ha vuelto cada vez más complejo y la frecuencia y la sofisticación de los ataques cibernéticos han seguido aumentando. A pesar de mayores niveles de conciencia relativos a las amenazas y riesgo cibernético y de un mayor cumplimiento regulatorio, las brechas de seguridad continúan en ascenso, por lo que la prevención y detección no son suficientes.
Las instituciones financieras de hoy deben lidiar con una lista cada vez mayor de amenazas, desde ransomware y malware hasta phishing y ataques de ingeniería social. Las consecuencias de un ataque exitoso pueden ser graves y provocar pérdidas financieras, daños a la reputación e incumplimiento normativo. Por lo tanto, la resiliencia cibernética (o ciber-resiliencia) se ha convertido en un aspecto crítico de las operaciones del sector financiero, que abarca una gama de medidas proactivas y reactivas para garantizar que el sector esté mejor preparado para prevenir, detectar y responder a las amenazas cibernéticas.
Antes de continuar, es importante establecer que, aunque ciberseguridad y ciber-resiliencia son conceptos estrechamente relacionados, tienen significados y objetivos diferentes.
La ciberseguridad se refiere a las medidas tomadas para protegerse contra las amenazas cibernéticas, como la piratería, el malware y los ataques de phishing. La ciberseguridad se enfoca en prevenir o mitigar el impacto de un ataque cibernético e incluye medidas como firewalls, software antivirus, sistemas de detección de intrusos y controles de acceso.
La resiliencia cibernética, por otro lado, se refiere a la capacidad de una organización o sistema para resistir, adaptarse y recuperarse de un ataque cibernético. La resiliencia cibernética es un concepto más amplio que la ciberseguridad e incluye medidas que van más allá de la prevención y la detección para incluir la preparación, la respuesta y la recuperación.
En otras palabras, la ciberseguridad consiste en protegerse contra las ciberamenazas, mientras que la ciberresiliencia consiste en poder resistirlas y recuperarse de ellas.
Una organización o sistema con resiliencia cibernética contará con una estrategia integral de ciberseguridad, pero también tendrá medidas adicionales, como planes de respuesta a incidentes, planes de recuperación ante desastres y planes de continuidad comercial para garantizar que pueda detectar, responder y recuperarse rápidamente de un ciberataque.
Para lograr niveles adecuados de ciber-resiliencia se requiere de un enfoque integral que aborde tanto la prevención como la respuesta a las amenazas cibernéticas. Estos son algunos de los pasos más importantes a considerar:
- Gestión de riesgos: realizar una evaluación de riesgos para identificar posibles amenazas y vulnerabilidades, así como desarrollar un plan de gestión para mitigar esos riesgos.
- Concientización y capacitación en ciberseguridad: educar a los empleados y usuarios sobre las mejores prácticas a seguir al usar la tecnología y de cómo reconocer y responder a las amenazas cibernéticas.
- Plan de respuesta a incidentes: desarrollar un plan de respuesta a incidentes que describa los pasos a seguir en caso de un ciberataque o violación de datos, incluidos los procedimientos de informe y los planes de comunicación.
- Copia de seguridad (backup) y recuperación: implementar un sistema robusto de copias de seguridad y recuperación para garantizar que los datos se puedan recuperar de forma rápida y eficaz en caso de un ciberataque o pérdida de datos.
- Supervisión y pruebas continuas: supervisión y pruebas periódicas de sus sistemas y procesos para identificar y abordar cualquier vulnerabilidad o debilidad antes de que puedan explotarse.
- Colaboración y comunicación: construir alianzas sólidas con las partes interesadas y establecer canales de comunicación efectivos para garantizar que todos estén informados y trabajen juntos para lograr la resiliencia cibernética.
Por otro lado, las agencias gubernamentales de supervisión y regulación juegan un papel fundamental en el mantenimiento de la resiliencia cibernética en el sector financiero. Durante los últimos años, el sector público en diferentes países ha definido y ejecutado acciones para contribuir a la resiliencia cibernética:
- Establecimiento de estándares de ciberseguridad: las agencias gubernamentales de supervisión y regulación pueden establecer estándares de ciberseguridad que las instituciones financieras deben cumplir para garantizar un cierto nivel de resiliencia cibernética. Estos estándares pueden incluir requisitos para evaluaciones de riesgos, planes de respuesta a incidentes, protección de datos y seguridad de la información.
- Evaluaciones de ciberseguridad: las agencias gubernamentales pueden realizar evaluaciones para evaluar la postura de seguridad cibernética de las instituciones financieras e identificar áreas donde se pueden realizar mejoras. Estas evaluaciones se pueden realizar a través de inspecciones in situ, auditorías u otros medios de evaluación.
- Orientación y capacitación: las agencias gubernamentales pueden brindar orientación y capacitación a las instituciones financieras sobre las mejores prácticas de seguridad cibernética y la planificación de respuesta a incidentes. Esto puede incluir capacitación en concientización sobre seguridad cibernética, gestión de riesgos de seguridad cibernética y planificación de respuesta a incidentes.
- Coordinación de la respuesta a incidentes: las agencias gubernamentales pueden servir como un punto central de contacto para coordinar los esfuerzos de respuesta a incidentes entre las instituciones financieras y otras partes interesadas, incluidas las agencias de aplicación de la ley y otras entidades gubernamentales. Esto puede ayudar a garantizar una respuesta oportuna y eficaz a los incidentes cibernéticos.
- Cumplimiento de las reglamentaciones: las agencias gubernamentales de supervisión y regulación tienen la autoridad para hacer cumplir las reglamentaciones y estándares de seguridad cibernética. Esto puede incluir la imposición de sanciones a las instituciones financieras que no cumplan con las regulaciones o no protejan adecuadamente los datos de los clientes.
Desde el año 2018, la Junta Monetaria (Banco Central y la Superintendencia de Bancos) ha venido ejecutando la mayor parte de estas acciones con la creación del Reglamento de Seguridad Cibernética y de la Información y su posterior adopción por parte de las entidades de intermediación financiera.
En el caso particular de la Superintendencia de Bancos, la ciberseguridad ha tenido un importante rol en su evolución hacia una institución puntera en innovación y servicios digitales, no solo para usuarios del sistema financiero a través del App ProUsuario Digital, sino también para las entidades de intermediación financiera, a través de sistemas como el PAMF (Portal de la Administración Monetaria y Financiera), actualización de normativas y estadísticas del sistema financiero.
Desde el Superintendente, pasando por los diferentes funcionarios y supervisores, hasta llegar a los equipos de apoyo, la SB tiene un compromiso con la creación de iniciativas y mecanismos diversos para mejorar los niveles de ciber-resiliencia de nuestro sector financiero. Es por ello que además de seguir implementando acciones como las descritas arriba, estaremos motivando una mayor colaboración entre los diferentes actores responsables de mantener un sistema financiero resiliente y seguro.
Referencias:
- Crisanto, Juan Carlos and Jermy Premio. Regulatory Approaches to Enhance Banks' Cyber-security Frameworks. Financial Stability Institute. FSI Insights on Policy Implementation no. 2. August 2017. https://www.bis.org/fsi/publ/insights2.htm
- European Banking Authority. Guidelines on ICT Risk Assessment Under the Supervisory Review and Evaluation Process (SREP). May 2017. https://www.eba.europa.eu/documents/10180/1841624/Final+Guidelines+on+ICT+Risk+Assessment+un der+SREP+%28EBA-GL-2017-05%29.pdf
- Federal Financial Institutions Examination Council. FFIEC Cybersecurity Assessment Tool. May 2017. https://www.ffiec.gov/pdf/cybersecurity/FFIEC_CAT_May_2017.pdf