Preocupan las amenazas e incidentes cibernéticos
El Comité de Basilea define el riesgo operativo como el “riesgo de pérdida resultante de procesos internos, personas y sistemas inadecuados o fallidos o eventos externos”. La definición incluye error humano, fraude interno y externo, fallas de los sistemas de TI y ciberataques.
El alcance es tan amplio que, sin una sólida y actualizada metodología de gestión de riesgos operativos combinada con el soporte de aplicativos, es casi imposible que una entidad pueda identificar, analizar, evaluar, mitigar y monitorear todos estos riesgos eficientemente.
Las amenazas e incidentes cibernéticos, como los ataques de ransomware, han surgido como una preocupación creciente para el sector bancario en los últimos años, lo que plantea riesgos para la seguridad y solidez de los bancos individuales y la estabilidad del sistema financiero.
Desde el inicio de la pandemia de COVID-19, estas preocupaciones se han intensificado. La crisis pandémica agravo el contexto y puso de manifiesto las debilidades en las entidades bancarias.
Ningún director de la Junta Directiva podría haber predicho con éxito la magnitud de la crisis pandémica del COVID-19. Sin embargo, los efectos secundarios sin precedentes de la pandemia han obligado a los directores a centrarse en cómo la gestión de riesgos y la planificación estratégica están evolucionando en un mundo que cambia vertiginosamente.
La magnitud de la pandemia ha cambiado la forma en que los directores piensan sobre la gestión de los riesgos operacionales y la utilidad de las matrices de riesgos. Ha cambiado la forma en que se aprecia y se gestiona el riesgo operativo.
Muchas de las matrices de riesgo que se habían desarrollado no fueron muy útiles, cuando hubo que enfrentar a la pandemia, y se necesitó incorporar a los “Riesgos Nuevos” y reapreciar los “Riesgos Viejos”.
Las juntas directivas están ampliando su supervisión a nuevas amenazas y exigen un enfoque de gestión más amplio y profundo que antes de la pandemia.
Las estadísticas muestran que las entidades no habían prestado suficiente atención a los riesgos tecnológicos, que se convirtieron en un riesgo de alta criticidad para todos los que trabajaban desde su hogar.
El 31 de marzo de 2021, el Comité de Basilea emitió dos documentos relacionados con el riesgo operativo y la resiliencia operacional pero dada la evolución de los incidentes cibernéticos, que representan una importante amenaza a los Bancos y Entidades Financieras, el Comité, refuerza publicando, el 20 septiembre 2021, un nuevo boletín pidiendo mayores esfuerzos para mejorar la resistencia de los bancos a las amenazas de los riesgos tecnológicos.
El Comité de Basilea recomienda la adopción generalizada de medidas para fortalecer la ciberseguridad, siguiendo los principios publicados a principios de este año sobre resiliencia y riesgo operacional.
En algunos de los párrafos se resalta:
“Desde el inicio de la pandemia de COVID-19, las preocupaciones sobre los riesgos tecnologicos han aumentado”.
“Los acuerdos de trabajo remoto y la mayor provisión de servicios financieros que utilizan canales digitales han ampliado la superficie de ataque a los bancos”.
“Los actores malintencionados, que se han vuelto cada vez más sofisticados, tienen más puntos de acceso a los sistemas bancarios”.
“Los ataques dirigidos a los proveedores de servicios externos de los bancos, incluido el software de terceros que los bancos utilizan comúnmente y las entidades intragrupo, también son un claro recordatorio de que las medidas de seguridad cibernética deben tener en cuenta las dependencias operativas de dichos proveedores “.
El comité no apoya una herramienta o marco específico, pero recomienda adoptar prácticas que se alineen con los estándares de la industria ampliamente aceptados: “elementos fundamentales que incluyen una gestión eficaz del riesgo cibernético, prácticas diligentes de higiene cibernética, métodos apropiados para identificar y protegerse contra las amenazas cibernéticas y capacidades mejoradas de respuesta y recuperación”.
El sistema de gestión del riesgo operacional debe incluir, además de los principios y marco adecuado un conjunto de herramientas y aplicaciones de acuerdo con los últimos estándares internacionales y mejores prácticas, que se utilizan para identificar, evaluar, medir y mitigar los riesgos operacionales y determinar los controles preventivos y correctivos. Entre estas herramientas podemos considerar las que se mencionan en:
• Marco de Ciberseguridad del Instituto Nacional de Estándares y Tecnología (NIST),
• Organización Internacional para la Estandarización ISO 27001, ISO 3100 y ISO 31010, y
• El Centro de Controles de Seguridad Críticos de Seguridad de Internet.
Bajo el contexto actual, los bancos deben esforzarse continuamente por mejorar su resistencia a las amenazas e incidentes de seguridad cibernética.
La incorporación de nuevos estándares, mejores prácticas y herramientas probadas, prácticas, efectivas y ampliamente aceptadas en la industria va a fortalecer la gestión del riesgo operacional. Esto permite una gestión eficaz del riesgo cibernético, con métodos apropiados para identificar y proteger contra amenazas cibernéticas y brindar una mejor capacidad de reacción, respuesta y recuperación.
La capacitación y la actualización profesional es una inversión, no un gasto, y no debe relegarse a un segundo plano.