Los supervisores creen prioritario impulsar la ciberseguridad de la banca
Algunas entidades han comenzado a formar a sus consejeros en la materia, entre las que destaca BBVA
El Banco Central Europeo (BCE) y la Autoridad Bancaria Europea (EBA) consideran prioritario crear barreras para combatir los ciberataques en la banca. En las entidades se está tomando conciencia de la importancia de la ciberseguridad y hasta se ha comenzando a dar formación a sus consejeros sobre esta materia. El supervisor, además, ha pedido auditorías internas para comprobar el grado de seguridad de la banca.
El 90% de los españoles cambiaría de banco si su entidad sufriera un ciberataque, lo que sitúa a España 16 puntos porcentuales por encima del 74% de la media mundial, según un reciente informe elaborado por la consultora Capgemini. Y es que los ciberataques a los bancos se han convertido en uno de los mayores riesgos del sector, y una prioridad de vigilancia para el BCE y para la EBA. El BCE ya publicó hace alrededor de un año y medio un cuestionario sobre el grado de cumplimiento de determinadas cuestiones, tales como la existencia de planes de respuesta ante incidentes o la seguridad de las infraestructuras.
La EBA, por su parte, ha tenido en consulta hasta el mes pasado un documento sobre las directrices sobre la evaluación del riesgo de la tecnología de la comunicación y la información (TIC), y que incluye la ciberseguridad. Esta guía está dirigida a los supervisores y entidades y tiene por objeto la promoción de procedimientos y metodologías comunes para la evaluación del riesgo cibernético. La EBA ya reconoce en su documento que “el delito cibernético es una grave amenaza no sólo para los actores individuales del mercado, sino también para la red operacional en general”. De hecho, la ciberseguridad es un tema tabú para las entidades financieras, reconocen varios expertos, ya que no les gusta desvelar ninguna de sus herramientas para su control.
Las cifras
El 76% de los clientes españoles cree que su banco cuenta con los sistemas de ciberseguridad adecuados, pero solo uno de cada cinco directivos afirma que su entidad tiene capacidad para afrontar una brecha en la seguridad, según un informe de Capgemini.
El 90% de los españoles cambiaría de banco si su entidad sufriera un ciberataque, lo que sitúa a España 16 puntos porcentuales por encima del 74% de la media mundial, según Capgemini.
Pese a que la EBA destaca la importancia de esta amenaza, no especifica, según reconoce un informe de la consultora KPMG si las inspecciones in situ realizadas por los supervisores o fuera de ellas son las más adecuadas para llevar a cabo las evaluaciones contenidas dentro de sus directrices, ni si introducen algunas obligación de información adicional para los bancos.
De momento, algunos bancos, como BBVA, han comenzado a proporcionar formación sobre ciberseguridad y TIC no solo a sus directivos, sino también a sus consejeros. BBVA cuenta, de hecho, con una comisión de tecnología y ciberseguridad. Los supervisores, por su parte, también han realizado auditorías internas en la banca para comprobar las herramientas con las que cuenta la banca para combatir esta amenaza.
Las recomendaciones de la EBA incluidas en su guía especifican que la banca debe realizar auditorías internas de control independiente. Las directrices de la EBA se aplicarán proporcionalmente al tamaño, la estructura y el entorno operativo de las instituciones, así como de la naturaleza y complejidad de sus actividades.
En España el Instituto Nacional de Ciberseguridad de España (Incibe), sociedad dependiente del Ministerio de Energía, Turismo y Agenda Digital, realiza junto a Deloitte ejercicios anuales de ciberseguridad en los que el Banco de España participa como observador. El primero lo realizó el pasado ejercicio a una docena de bancos. El objetivo es conocer los protocolos y la coordinación existente entre los diferentes departamentos para abordar una hipotética crisis de ciberseguridad en cada uno de los bancos examinados.
En Europa, el Reglamento General de Protección de Datos (RGPD) de la Unión Europea, obligatorio a partir de mayo de 2018, apremia también a los bancos europeos a avanzar en la ciberseguridad en el sector. Hay que tener en cuenta que los ciberataques son cada vez más sofisticados y su objetivo es el robo de datos y de dinero. En el caso de dinero, el 52% de los españoles que ha sufrido un robo online no ha podido recuperar nada, o casi nada de su dinero, según un estudio realizado por Kaspersky Lab y B2B Internacional.
El robo de 81 millones de dólares al Banco Central de Bangladés, perpetrado por piratas informáticos que lograron acceder a los sistemas de la entidad y transferir esa cantidad a varios casinos de Filipinas, ha sido catalogado como el mayor incidente de ciberseguridad de 2016 en todo el mundo.