Por: Shelley Hayes y Rommel García / KPMG en México / asesoria@kpmg.com.mx
El Observatorio de la Ciberseguridad en América Latina y el Caribe, entidad adscrita al Banco Interamericano de Desarrollo (BID), concluye en su último reporte publicado (2016) que una gran mayoría de los países de la región estaban poco preparados para contrarrestar la amenaza del cibercrimen. En el caso de México, el reporte muestra que la mentalidad de seguridad de la información, tanto a nivel Gobierno como en el sector privado se encuentra en niveles ‘formativos’, es decir, que algunas agencias y empresas líderes han comenzado a darle prioridad a la ciberseguridad; mientras tanto, a nivel social, dicho esquema mental se encuentra en su etapa ‘inicial’, en la cual la sociedad desconoce las amenazas cibernéticas, o las conoce, pero no toma medidas proactivas para mejorar su seguridad de la información.
Hoy, la ciberseguridad es uno de los riesgos más importantes que el sector financiero está enfrentando. El delito cibernético se ha convertido en un gran negocio, con un impacto global que supera los $450 billones de dólares al año a medida que el crimen, la extorsión, el chantaje y el fraude se trasladan a internet.
Un ejemplo del avance de la ciberdelincuencia lo podemos observar en México, donde en los últimos meses han existido ataques informáticos al sistema financiero: bancos, casas de bolsa y el más reciente que habría comprometido a algunos de los participantes del Sistema de Pagos Electrónicos Interbancarios (SPEI). En particular, la seguridad alrededor de este sistema cobra mayor relevancia, mientras que las operaciones realizadas a través del mismo han crecido de manera significativa (en abril de 2010 se realizaron 6.5 millones de operaciones vs. 49.6 millones en abril de 2018).
Sin embargo, no se trata únicamente de gastar dinero en sistemas de seguridad más sólidos; de acuerdo con Gartner[1], se espera que para finales de 2018 se hayan gastado cerca de 93 billones dólares en seguridad de la información. Más importante aún, se trata de un cambio hacia nuevos modelos ágiles, receptivos y enfocados en proteger todos los componentes del sistema de forma integral contra las amenazas cibernéticas cambiantes.
NUEVOS MODELOS DE SEGURIDAD DE LA INFORMACIÓN
Es necesario que el sector financiero revise sus estrategias de ciberseguridad y las adapte a la nueva realidad. En la actualidad, las instituciones están haciendo frente a diferentes tipos de presión, tales como:
- Captar nuevos clientes y enfrentarse a competidores emergentes (tipo Fintech), lo que implica la adopción de nuevos sistemas, exponiéndose a mayores riesgos
- Un entorno de amenazas cambiante, donde agresores profesionales innovan de manera mucho más rápida de lo que una institución financiera puede mejorar su marco defensivo
- Restaurar la confianza y minimizar los daños reputacionales; una ruptura en la seguridad afecta la confianza, la reputación y el valor de mercado
Los modelos de ciberseguridad deben seguir contemplando un enfoque integral, que incluya dentro de su alcance los procesos, personas y tecnología, pero también deben incluir procedimientos que verifican las tendencias en ataques y tomar las medidas pertinentes contra posibles eventualidades.
Otras áreas de mejora a considerar incluyen:
- Más allá del cumplimiento normativo: no solo enfocarse en el cumplimiento regulatorio, sino en la administración efectiva de riesgos, que le permita disminuir su exposición al mismo. La ciberseguridad debe ser vista como un habilitador de negocio.
- Enfoque de anticipación o prevención: las capacidades preventivas deben robustecerse y no solo limitarse a reaccionar ante eventos o problemas.
- Nuevos métodos de monitoreo: el volumen de operaciones que las instituciones financieras deben verificar hace imposible que su revisión sea realizada por métodos o herramientas tradicionales. Por lo tanto, se vuelve necesario incorporar nuevas tecnologías como machine learning para atender aspectos como identificación de operaciones sospechosas, detección de fraude y análisis y correlación de eventos, entre otros.
- Verificación de terceros: corroborar que los proveedores y terceros cuenten con los controles de seguridad de la información del mismo nivel, o mejores que los de la organización.
- Enfoque colectivo de protección: las instituciones han tenido una respuesta aislada ante los ataques de seguridad; por ello se demanda una coordinación entre las mismas, ya sean privadas o gubernamentales, para compartir información de ataques y eventos, y sumar esfuerzos coordinados de ciberinteligencia.
NUEVAS CAPACIDADES PARA ENFRENTAR RETOS
Ahora se requiere de un esfuerzo coordinado de las áreas involucradas en una institución financiera para mantener mecanismos de control enfocados en responder adecuadamente a los ataques cibernéticos: Recursos humanos, Legal, Prevención de Fraudes, Seguridad Informática, Producción Central, Tecnología de Información, Auditoría Interna, y desde luego, la Dirección General; lo anterior, puede tener la habilidad de mitigar amenazas y debilidades que se presentan en el entorno de la institución.
Asimismo, es necesario que las instituciones financieras fortalezcan y maduren capacidades y, en otros casos, incorporen nuevas. Tradicionalmente, las capacidades de seguridad han estado enfocadas primordialmente a medidas de protección y de detección de eventos. Se deben mejorar e incorporar nuevos procesos de detección, respuesta y recuperación, inclusive incorporar procesos de predicción de sucesos y ataques.
Finalmente, mantener a los cibercriminales fuera de los sistemas de información es vital, pero como no siempre esto es posible, las organizaciones deben empeñarse también en hacer mucho más difícil que un agresor aproveche la información una vez que está dentro de los sistemas. Es fundamental actual para detectar y responder a intrusiones: cifrar información vital y tomar medidas adicionales para protegerla; asimismo, utilizar nuevas tecnologías para asegurarse de que los sistemas estén constantemente libres de código malicioso son solo algunas de ellas. Cada organización debe evaluar qué es aplicable a su entorno particular, ya que no hay dos instituciones iguales.
Además de lo anterior, las organizaciones deben ser resilientes ante ciberataques. Para esto, contar con un programa adecuado de respuesta a incidentes es fundamental. Las instituciones financieras deben establecer una sólida estructura de políticas y procedimientos, donde profesionales capaces y entrenados basen sus acciones. También deberán con las herramientas más eficientes para obtener datos relevantes de manera rápida para una toma de decisiones informadas.
Para lograr eficiencia al enfrentar los riesgos sobre seguridad de la información, el enfoque de negocio en todos los sectores debe cambiar a una perspectiva integral y colectiva con el objetivo para romper el ecosistema criminal. Esto exige que entendamos la amenaza de los ciberdelincuentes como empresarios racionales que buscan maximizar sus ganancias, y que la comunidad financiera debe trabajar en conjunto con otras industrias clave, con el gobierno y en la aplicación de la ley para quebrantar esos modelos de negocios. Ninguna organización en particular puede lograr esto de manera aislada, se debe trabajar a través de alianzas efectivas y fuertes para enfrentar este flagelo de nuestra economía digital.
ACERCA DE LOS AUTORES
Shelley Hayes es Socia Líder de Forensic de KPMG en México. Tiene amplia experiencia en proyectos de asesoría en prevención, detección e investigación de fraudes, así como en el diseño de programas corporativos para la prevención y detección de corrupción, lavado de dinero y otros delitos económicos en las empresas.
Rommel García es Socio de Asesoría en Ciberseguridad de KPMG en México. Cuenta con más de 15 años de experiencia como líder de proyectos en gobierno y protección de información, seguridad y control interno de diversas industrias. Durante su carrera profesional ha participado en proyectos financieros y gubernamentales.
Correo: asesoria@kpmg.com.mx
[1] https://www.gartner.com/newsroom/id/3784965