Banca e instituciones financieras deben pasar de la ciberdefensa a la resiliencia ante ciberataques exitosos, ubica el vicepresidente de la FED.
Las instituciones financieras ya no pueden centrar su seguridad en la ciberdefensa.
Es necesario que trabajen en su resiliencia, ubica el vicepresidente de Supervisión del Sistema de la Reserva Federal de Estados Unidos (FED), Michael Barr.
Durante su participación en la conferencia anual sobre Medición del Riesgo Cibernético en el Sector de Servicios Financieros de la FED y el Instituto Tecnológico de Massachusetts.
Al detallar que, las amenazas cibernéticas evolucionan constantemente y se volverán cada vez más disruptivas, frente a un sistema financiero más interconectado.
En los últimos meses, los ataques de ransomware han interrumpido la capacidad de algunas instituciones financieras para ofrecer una variedad de servicios bancarios y de mercado.
Incluida la compensación y liquidación del Tesoro y el acceso a la banca en línea y a las operaciones de los cajeros automáticos, mencionó.
Aunque, destacó que estos incidentes se resolvieron sin perturbaciones significativas para el mercado en general.
Te puede interesar leer: Banxico reporta 4 ciberataques a firmas financieras
Cuando la ciberdefensa es insuficiente
“Son claros recordatorio del potencial de los incidentes para generar riesgos más amplios, incluso sistémicos.
“Por ello, los bancos deben tomar medidas para descubrir vulnerabilidades en sus sistemas y remediarlas antes de que ocurran ataques”, ubicó el funcionario.
Pero, destacó que centrarse en la ciberdefensa ya no es suficiente.
“Es importante que los bancos también se centren en la resiliencia ante ciberataques exitosos, incluso desarrollando y probando periódicamente planes de continuidad del negocio”. Preciso Barr.
Para ello, dijo que la FED y otras agencias bancarias trabajan para garantizar que los bancos y proveedores de servicios se centren adecuadamente en la ciberseguridad y la resiliencia operativa.
Alerta más riesgos por servicios tercerizados
En especial, la parte de la dependencia de los bancos de proveedores de servicios externos, que ha aumentado en los últimos años, con la cual surge el potencial de un mayor riesgo cibernético.
En última instancia, es responsabilidad de los bancos gestionar el riesgo de terceros, e históricamente hemos visto lagunas en este sentido.
El año pasado, junto con otras agencias reguladoras bancarias, la Reserva Federal adoptó una guía sobre la gestión eficaz del riesgo de terceros.
Basada en el tamaño y la complejidad del banco y la naturaleza de la relación con terceros.
La guía proporciona algunos ejemplos específicos a lo largo del ciclo de vida de una relación con un proveedor.
Que deberían ser útiles para los bancos a medida que fortalecen su gestión de los riesgos.
La capacidad de medir mejor el riesgo cibernético permitirá a los bancos y supervisores mejorar su comprensión de los costos directos e indirectos de una disrupción cibernética.
Un incidente plantea costos directos para un banco afectado y sus clientes, así como costos indirectos para otros participantes del mercado que están conectados con el banco afectado.
Temen ola expansiva en los ataques
Por ejemplo, investigadores del Banco de la Reserva Federal de Nueva York modelaron recientemente cómo un ciberincidente podría transmitirse a través del sistema financiero estadounidense.
Los autores estimaron cómo el deterioro de un solo banco grande, un grupo de bancos más pequeños o un proveedor de servicios común podría transmitirse a través del sistema de pagos.
Con el riesgo de poder generar importantes efectos de contagio a otros bancos.
Se estima que los efectos de contagio en el sistema financiero en general son especialmente grandes cuando los ataques se programan para maximizar el daño.
Lo que, resalta aún más los desafíos que surgen con la protección contra los ciberataques.
Además, los investigadores estiman que el impacto potencial de un ataque es sistemáticamente mayor en condiciones financieras difíciles.
Busca mejora en la cuantificación del riesgo
“Esto indica que necesitamos una comprensión más profunda de cómo el riesgo cibernético interactúa con los desafíos tradicionales a la estabilidad financiera”, destacó.
También, comentó que, a pesar de los avances de los últimos años, las técnicas para cuantificar el riesgo cibernético aún se encuentran en una etapa incipiente, en parte debido a la falta de buenos datos.
“Mejores datos sobre amenazas y vulnerabilidades cibernéticas nos permitirán identificar y evaluar las amenazas a los bancos y al sistema financiero”, reconoció el vicepresidente de la FED.
Además, la mejora de los datos sobre la interconexión entre las instituciones financieras y los proveedores de servicios ayudará a identificar y medir el impacto de un incidente en el sistema financiero en general.
La capacidad de identificar rápidamente patrones, conexiones y vulnerabilidades permitirá una respuesta rápida.
La cual, puede significar la diferencia entre un evento controlado y uno con impacto grave.
Por último advirtió que el sistema financiero globalizado de hoy y la naturaleza global de las amenazas exigen coordinación internacional tanto de los participantes como de los reguladores.