Chrome 38+
Firefox 33+
Microsoft Edge+
Instituciones financieras: ¿Están protegidos sus proveedores ante las ciberamenazas?
La semana pasada, el Banco de España, banco central nacional y supervisor del sistema bancario español, sufrió un ciberataque que, durante dos días, impedía el acceso a su página web oficial desde servidores externos.
El ciberataque no tuvo mayor alcance y no se produjo robo de datos ni ningún otro servicio se vio afectado, sin embargo, este tipo de eventos, denominados ataque de denegación de servicio (DoS, por sus siglas en inglés), es cada vez más frecuente hacia organismos públicos. En esta ocasión, el DoS ha tenido más trascendencia de lo normal puesto que la recuperación de la normalidad ha durado más de 48 horas para un organismo tan relevante.
Por este y otros muchos tipos de ataques que pueden sufrir las instituciones financieras, como bancos y aseguradoras, la ciberseguridad se encuentra entre las principales preocupaciones de las mismas, ya que son objetivos críticos para los ciberatacantes. Además, pueden ser vulnerables a posibles interrupciones debido a sus sistemas tecnológicos, a menudo complejos, y a los activos financieros y datos de clientes que puedan contener.
A medida que aumenta la conciencia de los ciberriesgos, muchas instituciones financieras han desarrollado capacidades internas sólidas para disuadir los ciberataques y prevenir interrupciones tecnológicas. Pero es igualmente importante, tanto para el organismo como para los reguladores, las prácticas de gestión de riesgos cibernéticos también de sus proveedores.
El ciberriesgo de terceros
Desde la crisis financiera de finales de los 2000, la Reserva Federal, la Comisión de Bolsa y Valores, la Oficina del Contralor de la Moneda y otros organismos reguladores de Estados Unidos, han analizado en profundidad las prácticas de gestión de riesgos de las instituciones financieras, y una de sus mayores áreas de enfoque ha sido el riesgo tecnológico.
Recientemente, tanto la industria como las instituciones se han fijado en los riesgos que presentan los proveedores. Muchas de las grandes instituciones financieras han desarrollado oficinas de administración de proveedores con la finalidad de vigilar y supervisar la lista de proveedores y terceros con los que trabajan. Pero mientras los reguladores parecen apreciar este enfoque de la gestión de riesgos, las instituciones todavía no se conforman y están investigando más a fondo, buscando proveedores de mayor confianza.
Para las instituciones financieras, los proveedores representan posibles vulnerabilidades de ciberriesgo que podrían costar millones. Los proveedores que poseen o procesan sus datos podrían ser víctimas de ataques de piratería o proporcionar una entrada de acceso las redes corporativas. Asimismo, las interrupciones tecnológicas en los proveedores también pueden interrumpir las operaciones de las instituciones.
La cadena de valor
Así como las empresas que producen o venden productos físicos auditan regularmente sus cadenas de suministro para evaluar las vulnerabilidades a riesgos naturales y otros riesgos físicos, las instituciones financieras deben evaluar su cadena de valor, comprendiendo las prácticas de mitigación de ciberriesgos de sus proveedores de primer, segundo y tercer nivel.
Las organizaciones ya debería tener estos conocimientos, pero si no, deberían:
• Evaluar los procedimientos de gestión y requisitos de datos de terceros existentes, identificando todas las relaciones entre proveedores y terceros, y analizando el lenguaje contractual relacionado con la seguridad de los datos.
• Desarrollar un marco de gestión de riesgos que incluya exposición a cada proveedor, el riesgo de incumplimiento o interrupción del negocio y acciones recomendadas.
• Monitorear continuamente la posición de seguridad de su red de proveedores, identificando aquellas compañías que presentan riesgos para ser examinadas más de cerca.
• Establecer un protocolo de acción que le permita sistematizar la administración de su riesgo de terceros.
También es importante cuantificar el ciberriesgo, incluidas las exposiciones de terceros. Un análisis basado en escenarios puede ayudar a estimar la probabilidad y la posible gravedad de un ataque cibernético que involucre a un proveedor, algo de gran interés para los reguladores financieros. La simulación de escenarios también puede ayudar a identificar y evaluar posibles opciones de seguro y mitigación de riesgos. Todas estas medidas son importantes ya que es posible que las organizaciones ya cuenten con un programa eficaz de ciberseguridad, pero puede que no sea el caso de sus proveedores.