La ciber-resiliencia como un factor clave para la estabilidad financiera

Las instituciones financieras tienen una enorme responsabilidad al salvaguardar datos financieros confidenciales, preservar valores de las personas, las empresas y hasta los países, facilitar transacciones financieras críticas, entre otras funciones, convirtiéndolas así en infraestructuras y operaciones críticas. En los tiempos actuales en donde es una necesidad ofrecer servicios digitales, las amenazas cibernéticas que puedan impactar la prestación continua, segura y confiable de los servicios financieros, representan un riesgo significativo y permanente para esta industria, tanto que su debida gestión incluso ya ha empezado a ser correlacionada con la estabilidad financiera en análisis como el realizado por investigadores del Banco de la República en el Reporte de Estabilidad Financiera del primer semestre del 2023 – Recuadro 2: Indicador de Riesgo cibernético¹.  

En este sentido, la resiliencia cibernética, definida como la capacidad de una organización para resistir, adaptarse y recuperarse ante los ciberataques posiblemente efectivos, se ha convertido en un aspecto esencial en el análisis y la reducción del riesgo en las operaciones del sector financiero a nivel global para garantizar su misión, preservar su reputación, cumplir las regulaciones, e incluso prevenir potenciales crisis del sector e incluso a nivel de país. Es decir, la responsabilidad va más allá de simplemente prevenir las amenazas sino más bien abrazar la realidad de un ataque y desarrollar una estrategia integral que garantice la continuidad del negocio y que permita minimizar las interrupciones en caso de una violación de la seguridad que afecte la integridad, disponibilidad y confidencialidad de los activos de información cruciales para la operación del negocio.  

Para desarrollar una estrategia de resiliencia cibernética corporativa existen varias guías² que concuerdan en recomendar el desarrollo de capacidades que le permitan a las organizaciones anticiparse al desastre cibernético, continuar con las operaciones misionales resistiendo las condiciones adversas, restaurar las operaciones mínimas en el menor tiempo posible, minimizar el impacto durante el desastre y regresar a un estado normal tan pronto se supera el incidente, y, finalmente, evolucionar para adaptarse a los nuevos niveles y factores de riesgo de la organización acorde con las nuevas condiciones de amenaza que cambian constantemente.  

Entonces, ¿cómo crear un sector financiero ciber-resiliente? Ante el panorama actual, es imperativo para todos los miembros del sector empezar a desarrollar estas capacidades en donde cada uno podrá dar pasos a su ritmo, sobre todo porque mucho de lo que se requiere está basado en la formalización de procesos más que en la adquisición de tecnologías. En ese sentido, algunos puntos claves para empezar son: 

1. Contar con el apoyo y aval de la dirección y alta gerencia durante todo el proceso, pues el éxito de la estrategia empieza con el entendimiento del riesgo asociado y el convencimiento de los líderes de que la gestión de este riesgo ya no es algo que se pueda posponer. La idea de la resiliencia cibernética se debe presentar en las juntas directivas con argumentos soportados en riesgos financieros, reputacionales, de cumplimiento y hasta legales. 

2. Caracterización de los procesos críticos del negocio soportados por un BIA (Business Impact Analysis), incluyendo los activos de información relevantes para sostener los procesos misionales, así como los cargos críticos para liderarlos.  

3. Implementación de arquitecturas y modelos de seguridad que sean actualizados, analizados, probados y ajustados de manera periódica, antes de que sean los atacantes quienes los pongan a prueba. Esto puede hacerse con análisis de vulnerabilidades, pruebas de penetración, ejercicios de red-team/blue-team, tecnologías tipo BAS (Breach and Attack Simmulation), etc. 

4. Contar con procesos de monitoreo continuo de eventos de seguridad en modalidad 7×24 con recursos locales o con el apoyo de servicios externos. El foco deben ser las operaciones misionales, pero cualquier otra señal de amenaza debe ser revisada pues puede ser la precursora de mayores problemas. Si no se entiende la superficie de ataque y, en general, el nivel de exposición de la organización a las ciber amenazas, será como andar a ciegas en un camino lleno de trampas. 

5. Consumir y compartir inteligencia de amenazas que sean operacionalizadas acorde con los procesos y los controles de seguridad y que pueda ser usada también como insumo para ejecutar ejercicios de cacería de amenazas al interior de la organización.  

6. Educar periódicamente y con el mismo rigor tanto a la primera línea de defensa (los usuarios), como a los directivos de la organización, para identificar las amenazas y traducir todo esto en análisis de riego para la operación. Abrir canales de comunicación directa para que todo usuario dentro de la organización pueda reportar anomalías o intentos de ataque cibernético. También es importante mantener actualizado a los equipos técnicos en sus capacidades de ciberdefensa, así como las tecnologías implementadas en la organización. 

7. Desarrollar un plan integral de atención a incidentes que contemple los roles y responsabilidades de los equipos técnicos, operativos y directivos, así como un plan de comunicación en donde se consideren los flujos y mensajes con todos los interesados ante un potencial desastre cibernético.  

8. Ajustar los procedimientos de continuidad del negocio a escenarios de desastre cibernético, incluso aquellos que sean más críticos para la operación. Esto es relevante porque tradicionalmente se han considerado los desastres naturales, el terrorismo, o las pandemias, por ejemplo, como los elementos detonantes de los planes de continuidad y, muy seguramente ante una inminente situación de ciberdesastre, es altamente probable que estos planes no sean los adecuados. En este punto, los respaldos de los sistemas y de información se vuelven piedra angular para la recuperación de las operaciones y, por tanto, deben ser considerados activos críticos y deben ser protegidos como tal.  

9. Probar los planes que se construyan mediante ejercicios de simulación de escritorio tipo “tabletop” que involucren a los equipos técnicos, operativos y ejecutivos. Estos espacios son cruciales en la mejora continua y en la construcción colectiva de capacidades al entender los diferentes puntos de vista frente a la situación presentada por el ejercicio. 

10. No olvidar la gestión del riesgo de terceros que tienen contacto con los datos o la infraestructura misional, empezando con la categorización de aquellos que pueden amenazar la integridad, confidencialidad y/o disponibilidad de las operaciones. Una vez identificados, se puede hacer un monitoreo de su higiene digital, ya sea con el apoyo de herramientas o mediante encuestas periódicas. Este proceso debe hacer parte de la gestión del riesgo integral de las organizaciones y debe abarcar todo el ciclo de vida de los proveedores, incluyendo la etapa de contratación en donde se deben negociar cláusulas que respalden el cumplimiento de las responsabilidades cibernéticas dentro la relación contractual. 

Concluyendo, el riesgo cibernético puede convertirse potencialmente en un riesgo sistémico en el sector financiero no solo local sino global³. Considerando que las entidades financieras colombianas han venido fortaleciendo la madurez de la gestión del riesgo de ciberseguridad según la Circular Externa 007 de la Superfinanciera, el siguiente nivel será fortalecer sus capacidades de resiliencia cibernética para mitigar el impacto de la materialización de amenazas en las infraestructuras.