Columna

Cómo enfrentar los ciberataques: la gran amenaza a la revolución digital

24/10/2018
Fernando Puga
Líder de tecnología SONDA
El presidente de la Comisión Nacional Bancaria y de Valores de México, Bernardo González Rosas, aseguró que en las próximas semanas se emitirán nuevas normativas en tema de ciberseguridad, seguramente tomando como ejemplo las normas de seguridad que ha dictado el Banco Central Europeo, que ya acusó recibo de la gran amenaza que esto significa para el ecosistema financiero regional y mundial.

Estas declaraciones se dan, a propósito de los últimos ciberataques a bancos e instituciones en México, de los cuales el más reciente habría comprometido a algunos de los participantes del Sistema de Pagos Electrónicos Interbancarios (SPEI), donde se estima que ciberdelincuentes habrían sustraído entre 15 y 20 millones de dólares, aunque sin afectar las cuentas de los clientes de la banca.

El Observatorio de la Ciberseguridad en América Latina y el Caribe, entidad adscrita al Banco Interamericano de Desarrollo, concluía en un reporte publicado en 2017 que una gran mayoría de los países de la región estaban poco preparados para contrarrestar las amenazas del cibercrimen. En el caso de México, el reporte mostraba que la mentalidad de seguridad de la información, tanto a nivel Gobierno como en el sector privado se encontraba en niveles ‘formativos’, es decir, que algunas agencias y empresas líderes han comenzado a darle prioridad a la ciberseguridad, pero aún hay una brecha enorme para estar a la altura de Europa o Estados Unidos.

Los modelos de ciberseguridad deben seguir contemplando un enfoque integral, que incluya dentro de su alcance los procesos, personas y tecnología, pero también deben incluir procedimientos que verifican las nuevas tendencias en ataques para tomar las medidas pertinentes de manera proactiva contra estas amenazas. 

Como primera respuesta a los ataques del sistema SPEI, la Comisión Nacional Bancaria y de Valores ha emitido los siguientes principios para reforzar la seguridad de la información en el sistema financiero, quienes deben disponer de: gobierno corporativo en el que la seguridad informática ocupe un lugar central; esquemas de protección de datos robustos; administración de riesgos de seguridad de la información; controles de seguridad en los puntos de acceso; protocolos de respuesta ante incidentes y eventos críticos; identificación de exposición a riesgos por parte de terceros (proveedores y usuarios); políticas de protección a la infraestructura; políticas de protección a los sistemas; programa de capacitación y de fomento de una cultura de la seguridad informática; y programas de educación y fomento de una cultura de seguridad informática para el uso que hacen los clientes de los servicios financieros.

Pero estas medidas, o la tecnología, por sí sola, no garantizan una estrategia de seguridad de la información eficiente. No basta con invertir en sistemas de seguridad más sólidos si no se cuenta con una estrategia y cultura de seguridad al interior de la empresa, y lo mismo ocurre viceversa, de nada sirve la cultura de seguridad sin las adecuadas herramientas de TIC para hacer frente a las amenazas de cada sector. Más importante aún, se trata de un cambio hacia nuevos modelos ágiles, receptivos y enfocados en proteger todos los componentes del sistema de forma integral contra las amenazas cibernéticas cambiantes.

Actualmente, el esfuerzo de las empresas debe ir más allá de las regulaciones que exige la industria, focalizando sus iniciativas en la administración efectiva de riesgos,  lo que permite disminuir su exposición a los mismos. Necesitan contar también con un enfoque preventivo, por lo que deben reforzar las capacidades en este ámbito con nuevos métodos de monitoreo, ya que el volumen de operaciones que las instituciones financieras deben verificar, hace imposible que su revisión sea realizada por métodos o herramientas tradicionales. Por lo tanto, se vuelve necesario incorporar nuevas tecnologías de big data, machine learning y/o blockchain para atender aspectos como identificación de operaciones sospechosas, detección de fraude,  así como análisis y correlación de eventos, entre otros.

A todas la organizaciones, independientemente de su sector, tamaño o madurez de seguridad, les recomendamos adoptar un marco de referencia que permita contar con los procesos, políticas y controles de seguridad adecuados para lograr los objetivos estratégicos de su organización. Actualmente existe el marco de ciberseguridad publicado por el NIST (National Institute of Standards and Technology), el cual nosotros incorporamos como modelo de nuestros servicios de consultoría para lograr un diagnóstico de ciberseguridad y elaborar la hoja de ruta para contar con una estrategia de ciberseguridad robusta, eficiente y que vaya evolucionando de manera proactiva a medida que vayan surgiendo nuevas amenazas.