jueves, 29 de junio de 2017

RIESGOS Y RESISTENCIA EN ATAQUES CIBERNETICOS A SERVICIOS FINANCIEROS EUROPEOS

 Recientemente se ha celebrado en Frankfurt un encuentro de alto nivel institucional para revisar el estado sobre la atención y cuidados que reciben los riesgos de origen tecnológico y de ataques informáticos en el ámbito de las entidades, públicas y privadas, de servicios financieros y de las infraestructuras de mercados en Europa, donde se revisó la estrategia de seguridad cibernética del Eurosistema y se explicó el enfoque que desde los supervisores bancarios se está adoptando.

Los ataques y delitos cibernéticos han crecido en volumen y complejidad a la par que el desarrollo en el ámbito financiero de las infraestructuras informáticas y de telecomunicaciones, los datos almacenados y los usuarios de estos, con muy variados propósitos como el robo, espionaje, terrorismo, desestabilización etc.  

Dado este nuevo escenario donde los riesgos de ataques cibernéticos se pueden mitigar mediante adecuadas medidas de seguridad informática y operacional, pero no se podrán evitar, se debe ir más allá de la ciber-seguridad a un paradigma de la ciber-resistencia con la preparación a priori de la gestión necesaria ante estos eventos de alto impacto potencial, y establecer las estrategias para definir y defender elementos críticos, priorizar las actividades de contingencia ante su destrucción y las actividades para su recuperación y reestablecer sus funcionamientos en el menor tiempo posible.

También la ciber-resistencia debe ir más allá de las medidas informáticas, y debe involucrar los procesos de negocio, la cultura intrínseca de las entidades, las actuaciones y supervisiones del gobierno corporativo de estas, y la adecuada coordinación de todas ellas en actuaciones conjuntas entre si y  junto con sus proveedores, clientes y las autoridades de control y supervisión.

Las autoridades de regulación y supervisión  han preparado normativa internacional, europea, sectorial financiera e intersectorial para ayudar en los planteamientos del modelo de cibre-resistencia:

Se ha diseñado en Europa una estrategia de ciber-resistencia basada en tres pilares:
  1. Políticas de resistencia de infraestructuras individuales de los mercados financieros
  2. Políticas de resistencia coordinada de todo el sector financiero en su conjunto
  3. Establecimiento de un foro permanente para las autoridades públicas, las entidades y operadores de servicios y los proveedores de elementos de ciber-seguridad


En 2016 el Consejo de Europa aprobó la directiva sobre seguridad en la red y en los sistemas de información (NIS) con el objetivo de mantener adecuados niveles y capacidades de seguridad informática en los operadores de servicios en todos los países de la UE a la vez que asegurar acciones coordinadas de recuperación eficaz en ataques e intercambio de información.

Desde el organismo internacional de mercados financieros, IOSCO, se publicó en 2016 una guía práctica sobre la ciber-seguridad y ciber-resistencia de las infraestructuras de mercados financieros.

El grupo de países del G7, han establecido un conjunto de principios y fundamentos sobre ciber-seguridad y resistencia en el sector financiero, y han publicado tres documentos de recomendaciones sobre valoración efectiva de riesgos de terceros y protección.

Desde los mecanismos de supervisión del BCE también se ha generado preocupación y atención a los riegos de la ciber-seguridad, con la creación de un grupo de trabajo específico con tres objetivos: Primero conocer y entender como los supervisores nacionales (e internacionales) vienen vigilando y tratando estos riesgos; Segundo conocer y entender como las entidades están considerando y gestionando estos riesgos; Tercero proponer un plan estratégico y táctico para la vigilancia y supervisión de ciber-seguridad y ciber-resistencia.

El MUS estableció como uno de los primeros pasos en la actividad en esta materia un marco de generación y presentación de informes sobre ataques cibernéticos que permita conocer y evaluar objetivamente cuantos ataques se producen y sus características, a la vez que se identificas las principales debilidades del sistema.

Adicionalmente el BCE ha realizado ya estudios temáticos entre las entidades bajo su supervisión sobre seguridad y externalización informática que han permitido evaluar el conocimiento de los órganos de gobierno de los riesgos en estas materias y las medidas que se adoptan creando un perfil de ciber-resistencia de cada entidad. También estos estudios permitieron mejorar la metodología de supervisión SREP con actuaciones continuas tanto presenciales en las entidades como a distancia sobre la vigilancia de las prácticas básicas de seguridad en las entidades.

BCE y EBA trabajan conjuntamente en el desarrollo de medidas, guías prácticas, seminarios etc,  para aumentar la homogeneidad de las prácticas supervisoras en seguridad de la Autoridades Nacionales, dentro de los proyectos de integración supervisora que creen y aumenten un entendimiento común entre los supervisores y estos con los bancos sobre los riesgos tecnológicos y de ciber-seguridad.