El Banco Central Europeo, por fin, ha tomado la decisión de centrarse en la ciberseguridad aplicada a la banca. La crisis financiera provocó el inicio de la supervisión bancaria europea con un primer paso basado en test de estrés. En ese caso se pretendía encontrar la capacidad para absorber pérdidas, la resistencia ante escenarios económicos adversos. Ahora, sin embargo, el supervisor bancario europeo lo que pretende es que, con estos nuevos exámenes, se revise a fondo la resistencia de los bancos europeos ante ataques informáticos de diferentes tipos. Algo que, evidentemente, repercute de forma directa a sus clientes por la seguridad que puedan llegar a ofrecer para proteger sus fondos.

El Banco Central Europeo ha establecido que los nuevos test de seguridad informática de los bancos europeos, por el momento, serán voluntarios. Por otro lado, también se contempla que sea por países la participación; y de este modo, serán las supervisoras nacionales las que se encarguen de elegir las entidades bancarias que se verán sometidas a las diferentes pruebas que se establezcan. Esta iniciativa de la autoridad supervisora europea ha llevado a primeras reacciones como la de Reino Unido, que quiere participar del experimento, y ha exigido ya a sus bancos presentar un plan contra ciberataques antes de octubre.

Todos los bancos europeos se beneficiarán de las mismas pruebas: los examinados servirán como fuente de información

Con estas pruebas de seguridad no se pretende hacer una evaluación de las entidades con un dictamen particular, sino recoger información sobre los puntos fuertes y débiles de las entidades bancarias. Con esta información se podrá llevar a cabo un desarrollo conjunto en cuanto a seguridad. Servirá a los bancos para evaluar la tecnología y los procesos de protección frente a ataques diversos. Y antes de que se lleven a cabo por primera vez, habrá importantes desembolsos económicos para mejorar la seguridad. Estos costes, evidentemente, serán asumidos por los bancos que se sometan a las pruebas.

La banca está evolucionando a pasos agigantados hacia el entorno digital, y la seguridad es una asignatura imprescindible que todas las entidades deberían aprobar, y ‘con nota’. Esta iniciativa por parte del organismo supervisor europeo debería favorecer la inversión en sistemas de seguridad para cumplir con la norma Europea, según los estándares fijados.

La participación lleva tres pasos: preparación, ataque y fase de cierre

La participación en estos test de ciberseguridad lleva tres fases. La primera etapa consiste en la preparación de la entidad para someterse a la prueba, lo que incluye la adquisición de los servicios necesarios exigidos por el European Threat Intelligence-Based Ethical Red-Teaming (TIBER-EU) Framework [PDF] para afrontar el test. La segunda fase es la del ataque, y establece una hoja de ruta para que el equipo rojo se dirija a las zonas más vulnerables con el objetivo de probar la resistencia del banco en un escenario de ruptura del negocio. Finalmente, la última parte, conocida como fase de cierre, incluye la compilación de un informe del equipo rojo sobre las vulnerabilidades encontradas y la forma de remediarlas, un informe de la entidad y un tercero elaborado de manera conjunta.

El BCE recuerda que estas pruebas se realizarán siempre bajo el principio de la confidencialidad y también de la ética en los ciberataques. De hecho, guarda el derecho a que el supervisor competente de cada banco invalide el examen si considera que no se ha realizado desde unos principios honestos.

Hasta el momento, el gran paso dado por Europa en materia de ciberseguridad ha sido la directiva NIS que tiene como objetivo impulsar el desarrollo de las capacidades de seguridad cibernética de los Estados miembro. Uno de los grandes hitos consiste en que las empresas deben reportar a la autoridad nacional los incidentes cibernéticos que detecten con el objetivo de garantizar el intercambio de información y cooperación. España registró 120.000 incidentes el año pasado, 5.000 más que en el ejercicio anterior.

Fuente: Seguinfo.com.ar

Compartir