Implementando la Herramienta CAT del FFIEC en Latinoamérica

En los últimos seis meses del 2018 hemos sido testigo de los mayores ataques cibernéticos a bancos latinoamericanos desde el 2015, cuando criminales cibernéticos lograron robar $12 millones de dólares del Banco del Austro (Ecuador),por medio de la mensajería SWIFT.

Recientes ataques cibernéticos de alto perfil a bancos en Chile y México han demostrado debilidades en el sistema financiero de América Latina y han causado un gran impacto financiero, operativo, legal, y reputacional.

Los costos asociados a ataques cibernéticos incluyen pérdidas de millones de dólares, costos de monitoreo de crédito al consumidor, honorarios legales y/o forenses, reposición de equipos técnicos, y daños incalculables a la reputación de las instituciones afectadas, lo cual ha traído como consecuencia gastos adicionales para cubrir campañas de relaciones públicas.

En Octubre del 2018 la OEA publicó su reporte llamado “Estado de la Ciberseguridad en el Sector Bancario en América Latina y el Caribe” acerca de la ciberseguridad, estándares, mejores prácticas y marcos metodológicos implementados por bancos de la región. El reporte mostró un hallazgo significativo sobre la seguridad digital en las entidades del sector bancario en América Latina y el Caribe: “El 73% de los bancos considerados grandes, el 47% de bancos considerados medianos, y el 21% de los bancos considerados pequeños, realizó una evaluación de madurez y está adelantando actualmente las acciones correspondientes”. El reporte identificó también que las normas ISO 27001 y COBIT son utilizadas en el 68% y 50% de entidades bancarias, respectivamente.

El Consejo Federal de Examinación de las Instituciones Financieras (FFIEC por sus siglas en inglés) es un órgano interinstitucional del gobierno de los Estados Unidos que incluye cinco agencias reguladoras de la banca. En Junio de 2015, el FFIEC publicó una herramienta llamada “Cybersecurity Assessment Tool” (CAT por sus siglas en inglés) que permite a instituciones financieras planificar y adoptar un enfoque rentable, no intrusivo, escalable, y sostenible a largo plazo, para mitigar los riesgos cibernéticos. La herramienta CAT se basa en reconocidos marcos de tecnología y de seguridad cibernética, tales como los manuales de tecnología del FFIEC y el Instituto Nacional de Estándares y Tecnología (NIST por sus siglas en ingles), sin embargo, el CAT es mucho más amplio y está dirigido especialmente a instituciones financieras. La evaluación consta de dos partes:

1. Perfil de riesgo inherente de la institución en las siguientes cinco áreas:

– Tecnologías y conexión

– Canales de entrega

– Productos en línea, móviles, y servicios de tecnología

– Características de organización

– Amenazas externas

2. Grado de madurez de ciberseguridad en factores de evaluación, componentes, y declaraciones de intenciones (controles y procesos) agrupados en los siguientes cinco dominios:

– Gestión de riesgos y control de ciberseguridad

– Inteligencia de amenaza y colaboración

– Controles de ciberseguridad

– Gestión de la dependencia externa

– Gestión de incidentes cibernéticos y resistencia

La implementación de la herramienta CAT ofrece los siguientes beneficios:

• Ayuda a determinar si las prácticas de gestión de riesgos y controles son suficientes para lograr el nivel de maduración deseado.

• Permite identificar y priorizar oportunidades de mejora con el contexto de un proceso continuo y repetible.

• Ayuda a determinar la propensión al riesgo, tolerancia, y cómo manejar la respuesta de riesgos (mitigar, transferir, evitar, o aceptar).

• Ayuda a implementar y mejorar procesos y controles de ciberseguridad que profundicen el concepto de defensa en capas.

• Crea un lenguaje común para la discusión de ciberseguridad, basado en la gestión del riesgo.

• Amplía el alcance de ciberseguridad a las unidades de negocio.

Al evaluar la madurez de seguridad digital de manera periódica con la ayuda de agentes externos capacitados, los bancos de Latinoamérica y el Caribe identificarán oportunidades de mejora más fácilmente y podrán priorizar y actualizar sus planes y estrategias de seguridad digital, incluyendo aspectos de seguridad de la información, ciberseguridad, y prevención del fraude usando medios digitales.

Debido a vertiginosos cambios en las amenazas y nuevas vulnerabilidades (el promedio diario de nuevas vulnerabilidades es alrededor de 50), el perfil de riesgo inherente y los niveles de madurez de una institución cambian con el tiempo. Por lo tanto, una evaluación de ciberseguridad se debe completar al menos una vez al año. Si se producen cambios operacionales y tecnológicos significativos como una adquisición, implementación de una nueva aplicación de banca central, apertura de una nueva sucursal, nuevos productos, nuevas conexiones, etc., la evaluación debe ser aún más frecuente. Vulnerabilidades en controles, procesos o sistemas pueden tener consecuencias costosas para las instituciones financieras.