Los ataques y delitos
cibernéticos han crecido en volumen y complejidad a la par que el desarrollo en
el ámbito financiero de las infraestructuras informáticas y de
telecomunicaciones, los datos almacenados y los usuarios de estos, con muy
variados propósitos como el robo, espionaje, terrorismo, desestabilización etc.
Dado este nuevo escenario donde
los riesgos de ataques cibernéticos se pueden mitigar mediante adecuadas
medidas de seguridad informática y operacional, pero no se podrán evitar, se
debe ir más allá de la ciber-seguridad a un paradigma de la ciber-resistencia con
la preparación a priori de la gestión necesaria ante estos eventos de alto
impacto potencial, y establecer las estrategias para definir y defender
elementos críticos, priorizar las actividades de contingencia ante su
destrucción y las actividades para su recuperación y reestablecer sus
funcionamientos en el menor tiempo posible.
También la ciber-resistencia debe
ir más allá de las medidas informáticas, y debe involucrar los procesos de
negocio, la cultura intrínseca de las entidades, las actuaciones y
supervisiones del gobierno corporativo de estas, y la adecuada coordinación de
todas ellas en actuaciones conjuntas entre si y
junto con sus proveedores, clientes y las autoridades de control y
supervisión.
Las autoridades de regulación y
supervisión han preparado normativa internacional, europea, sectorial
financiera e intersectorial para ayudar en los planteamientos del modelo de
cibre-resistencia:
Se ha diseñado
en Europa una estrategia de ciber-resistencia basada en tres pilares:
- Políticas de resistencia de infraestructuras individuales de los mercados financieros
- Políticas de resistencia coordinada de todo el sector financiero en su conjunto
- Establecimiento de un foro permanente para las autoridades públicas, las entidades y operadores de servicios y los proveedores de elementos de ciber-seguridad
En 2016 el
Consejo de Europa aprobó la directiva sobre seguridad en la red y en los
sistemas de información (NIS) con el objetivo de mantener adecuados niveles y
capacidades de seguridad informática en los operadores de servicios en todos
los países de la UE a la vez que asegurar acciones coordinadas de recuperación eficaz
en ataques e intercambio de información.
Desde el
organismo internacional de mercados financieros, IOSCO, se publicó en 2016 una
guía práctica sobre la ciber-seguridad y ciber-resistencia de las infraestructuras
de mercados financieros.
El grupo de
países del G7, han establecido un conjunto de principios y fundamentos sobre
ciber-seguridad y resistencia en el sector financiero, y han publicado tres
documentos de recomendaciones sobre valoración efectiva de riesgos de terceros
y protección.
Desde los mecanismos de
supervisión del BCE también se ha generado preocupación y atención a los riegos
de la ciber-seguridad, con la creación de un grupo de trabajo específico con
tres objetivos: Primero conocer y entender como los supervisores nacionales (e
internacionales) vienen vigilando y tratando estos riesgos; Segundo conocer y
entender como las entidades están considerando y gestionando estos riesgos;
Tercero proponer un plan estratégico y táctico para la vigilancia y supervisión
de ciber-seguridad y ciber-resistencia.
El MUS estableció como uno de los
primeros pasos en la actividad en esta materia un marco de generación y
presentación de informes sobre ataques cibernéticos que permita conocer y evaluar
objetivamente cuantos ataques se producen y sus características, a la vez que
se identificas las principales debilidades del sistema.
Adicionalmente el BCE ha
realizado ya estudios temáticos entre las entidades bajo su supervisión sobre seguridad
y externalización informática que han permitido evaluar el conocimiento de los órganos
de gobierno de los riesgos en estas materias y las medidas que se adoptan
creando un perfil de ciber-resistencia de cada entidad. También estos estudios
permitieron mejorar la metodología de supervisión SREP con actuaciones continuas
tanto presenciales en las entidades como a distancia sobre la vigilancia de las
prácticas básicas de seguridad en las entidades.
BCE y EBA trabajan conjuntamente
en el desarrollo de medidas, guías prácticas, seminarios etc, para aumentar la homogeneidad de las prácticas
supervisoras en seguridad de la Autoridades Nacionales, dentro de los proyectos
de integración supervisora que creen y aumenten un entendimiento común entre
los supervisores y estos con los bancos sobre los riesgos tecnológicos y de
ciber-seguridad.