Las Tecnologías de la Información y la Comunicación (TIC) incluyen todos aquellos medios electrónicos que almacenan, crean, recuperan y transmiten información en grandes cantidades y a gran velocidad: su permeabilidad en prácticamente todas las áreas de la sociedad se ha convertido en un factor de desarrollo para gobiernos, industrias, organizaciones, entidades educativas, etcétera.
Dada su importancia desde hace casi cuatro décadas la tecnología de la información trajo consigo la introducción, primero, de la seguridad informática con el objetivo de proteger los sistemas tecnológicos que se utilizan y, posteriormente, hace unos 15 años y ante la vorágine del avance de internet, la seguridad de la información para proteger datos tanto personales como de entidades de gobierno y privadas.
De este modelo se desprende el término ciberseguridad ya que actualmente el objetivo se extendió no solo a proteger la información sino también a resguardar la infraestructura tecnológica que la soporta y nos hace funcionar como sociedad.
Ciberseguridad financiera
La ciberseguridad incluye una serie de estrategias, metodologías y tecnologías para proteger a los sistemas tecnológicos de información frente a las amenazas actuales que van desde la incidencia de robos de identidad y datos personales hasta la integridad de infraestructura crítica, como los sistemas bancarios del país.
Por su importancia para la economía las instituciones financieras deben estar siempre a la cabeza en el tema de garantizar la seguridad, estabilidad y resiliencia de la infraestructura, los sistemas y redes digitales, mientras que el fraude, el robo de data y los ciberataques están en el ranking de los riesgos más peligrosos que enfrentan este año los negocios.
Estas amenazas no se limitan a los países más ricos: la Organización de Estados Americanos (OEA) recién presentó el informe Estado de la ciberseguridad en el sistema financiero mexicano, realizado con apoyo de la Comisión Nacional Bancaria y de Valores (CNBV).
En dicho estudio la OEA consolidó y exploró una base de datos con registros de 240 entidades e instituciones financieras, donde resaltan seis bancos grandes, 27 bancos medianos y pequeños, nueve entidades de la banca de desarrollo, 98 del sector ahorro y crédito popular, 15 sociedades financieras populares, así como 17 empresas de tecnología financiera —conocidas como Fintech—, todas ellas representativas de las 32 entidades federativas de México.
Resultados
La OEA muestra en su reporte el estado actual de las entidades a nivel de gestión de riesgos de seguridad digital, qué impacto han tenido los incidentes de seguridad digital y recomendaciones clave para el sistema financiero mexicano.
En el desglose en cuanto a preparación y gobernanza de la seguridad digital el informe de la OEA indica que 70% de las entidades e instituciones financieras afirma tener una única área responsable de la seguridad de la información —la que incluye ciberseguridad— y prevención del fraude por medios digitales. Al menos 43% de las organizaciones de mayor tamaño, como los bancos tradicionales, suelen tener más de un área, mientras que las pequeñas registran 24% en ese rubro.
Otro elemento destacable es la distancia jerárquica entre el CEO (director ejecutivo, máximo responsable de la gestión y dirección administrativa de la empresa) y el responsable de la ciberseguridad: un trato directo con el director de la organización suele traducirse en respuestas más rápidas a incidentes y un mejor acompañamiento de los objetivos de negocio.
Esto se registró con mayor frecuencia en las entidades pequeñas, de las que 60% declaró que el responsable de seguridad digital reporta directamente al CEO, mientras que en ninguna entidad grande ocurre de esta manera: 50% de estas reporta tener dos niveles entre su director general y el encargado de la ciberseguridad.
Además mientras más grande es la organización más niveles se suman entre estas dos figuras.
En cuanto a gestión de riesgos la OEA indica que es complejo invertir en ciberseguridad en México y a pesar de la importancia de aumentar la ciberseguridad en el sistema financiero nacional solo la mitad de las entidades e instituciones monetarias reporta a sus altos mandos sobre esta materia: apenas en 50% de estas entidades e instituciones la junta directiva recibe reportes periódicos acerca de riesgos de seguridad de la información —incluyendo ciberseguridad— y fraudes ocurridos a través de medios digitales, revela el estudio.
Igualmente 65% de los encuestados en el reporte considera que convencer a la alta jerarquía de la institución para que invierta en soluciones de seguridad digital es medianamente complicado o muy complejo. Esto pese a la importancia que tienen las inversiones en materia de prevención y desarrollo de capacidades.
En comparación, apunta la OEA, en la región de América Latina y el Caribe en 85% de las entidades bancarias la junta directiva recibe reportes periódicos sobre riesgos de seguridad en la información, incluyendo la ciberseguridad y fraudes realizados a través de medios digitales.
Herramientas implementadas
Para detectar y analizar eventos de seguridad de la información las principales acciones y medidas técnicas que las entidades e instituciones financieras de México ejecutan son los firewalls (cortafuegos) con 85%; la actualización automatizada de antivirus y sistemas, 76%; copias de seguridad automatizadas, 68%, y network security —como VPN, NAC, ISE, IDS/IPS, entre otras— con 54 por ciento.
El uso de tecnologías digitales emergentes se encuentra aún rezagado: solo 22% del total de instituciones financieras implementa analítica de datos en herramientas, controles o procesos; 13% del total de entidades e instituciones financieras implementa machine learning y 9% del total implementa Inteligencia Artificial.
La OEA destaca el hecho de que en el sector bancario el uso de Big Dataregistra un promedio de 45%, lo cual supera por mucho el promedio del sector financiero de América Latina y el Caribe, que registra 29% del total.
En cuanto a capacitacióńn y concientización, 57% de entidades e instituciones financieras cuenta con planes de preparación, respuesta y capacitación para sus colaboradores, los cuales se ejecutan en su mayoría anualmente.
Sobre la inversión realizada en ciberseguridad, según el informe de la OEA-CNBV, 51% de las entidades mexicanas manifiesta que su presupuesto de seguridad digital equivale a menos de 1% de EBITDA (Earnings Before Interest, Taxes, Depreciation and Amortization) del año fiscal anterior. Además —en comparación al año fiscal inmediato anterior—, 57% de las entidades e instituciones financieras en el país manifiesta que se mantuvo sin variación el presupuesto de seguridad de la información y prevención del fraude digital: 38% señala que había aumentado y tan solo 5% indica que había disminuido.
Sin embargo los grandes bancos de México invierten con mayor ímpetu: 31% de estas instituciones señalaron que este presupuesto se mantuvo sin variación; 64% que aumenta y tan solo 5% asegura que disminuye.
El reporte indica igualmente que los riesgos de seguridad de la información que las entidades e instituciones financieras de México consideran que merecen mayor atención son tres:
∙Pérdida y robo de activos de información clasificada (confidencial o sensible).
∙Secuestro de información.
∙Compromiso de credenciales de usuarios privilegiados.
Ataques
De acuerdo con el estudio realizado por la OEA y la CNBV, 100% de las entidades e instituciones financieras en México ha identificado algún incidente de seguridad cibernética en su contra.
El reporte expone que el costo total de respuesta y de recuperación ante incidentes de seguridad digital para una entidad es de alrededor de 1.59% de EBITDA del año anterior, el cual representó para el sistema mexicano 107 millones de dólares en 2018.
Tan solo la banca comercial destinó 35 millones de dólares a este rubro, en tanto que la banca de desarrollo presentó un costo de 22 millones de dólares, el sector bursátil por un millón de dólares y el de ahorro y crédito popular tres millones de dólares, mientras a los intermediarios financieros no bancarios —como las sociedades financieras de objeto múltiple (Sofomes) o casas de cambio— les costó 13 millones de dólares y a las instituciones de tecnología financiera (Fintech) 26 millones.
El documento muestra también que los eventos más comunes identificados son los códigos maliciosos o malware, detectados por 56% del total de entidades; les siguen el phishing —dirigido para tener acceso a sistemas de la entidad— con 47% y la violación de políticas de escritorio limpio (clear desk) con 31 por ciento.
Conforme al reporte 43% de las instituciones grandes manifestó que fue víctima de un ataque exitoso, mientras que 15 y 6% de las entidades medianas y pequeñas estuvieron en la misma situación. Asimismo 19% de las entidades identificó ocurrencia de eventos de malware diariamente.
En cuanto a ataques contra los usuarios de la banca mexicana, 14 millones 300 mil han sido afectados por los cibercriminales, lo que representa 31% del total.
De igual forma el documento expone que la principal motivación para la realización de estos ataques es la económica, al representar 74%; en una menor medida están las políticas o hacktivismo, con 32%; mientras que el robo de información personal se registra en 26% de los incidentes.
Recomendaciones
Ante el entorno de ciberseguridad en México algunas de las recomendaciones de la OEA-CNBV resaltan que se debe invertir en seguridad de la información, incluyendo ciberseguridad y prevención del fraude a través de medios digitales, principalmente en los sectores bursátil, de ahorro y crédito popular y de intermediarios financieros no bancarios.
Para el gobierno mexicano el organismo continental recomienda tener una instancia única de gobierno corporativo que lidere esta batalla, dimensionar adecuadamente los equipos de trabajo dedicados a los aspectos de seguridad de la información, establecer mecanismos claros para asegurar el conocimiento de la gestión de riesgos por parte de la dirección general y, en términos más gruesos, abandonar la visión de los marcos regulatorios como meras listas de chequeo y constituirlos como procesos de transformación, orientados por la mejora continua de la cultura de seguridad.
Es necesario, indica el documento, garantizar que la priorización de acciones, procesos y programas de seguridad digital para proteger los sistemas de información críticos de la institución financiera correspondan a un plan derivado de las necesidades de adopción y aplicación de marcos regulatorios, mejores prácticas y/o estándares internacionales.
Resulta relevante que este plan tenga como uno de sus objetivos el de elevar la resiliencia cibernética, agrega el informe.
Sugiere también que las entidades deben participar activamente de alianzas en las que se logre compartir las conclusiones y lecciones aprendidas sobre la gestión de ataques, y garantizar la adecuada comunicación hacia los clientes en el caso de que resulten víctimas de incidentes.
Principios para el fortalecimiento de la ciberseguridad para la estabilidad del sistema financiero mexicano
1. Adoptar y mantener actualizadas políticas, métodos y controles para identificar, evaluar, prevenir y mitigar riesgos de ciberseguridad, que se autoricen por los órganos de gobierno de mayor decisión y permeen a todos los niveles de la organización.
2. Establecer mecanismos seguros para el intercambio de información entre los integrantes del sistema financiero y las autoridades.
3. Impulsar iniciativas para actualizar los marcos regulatorios y legales.
4. Colaborar en proyectos para fortalecer los controles de seguridad de los distintos componentes de las infraestructuras y plataformas operativas que soportan los servicios financieros del país.
5. Fomentar la educación y cultura de ciberseguridad entre los usuarios finales y el personal de las propias instituciones.
Fuente: SHCP