Cómo deberían responder las empresas de servicios financieros a una advertencia de amenaza cibernética del FMI

Las organizaciones de servicios financieros han sido durante mucho tiempo un objetivo para los actores de amenazas. Ya sean grupos con motivación financiera que buscan información personal y financiera de los clientes para venderla en la web oscura, o actores estatales empeñados en alterar la infraestructura crítica, las amenazas ya están bien documentadas. Pero eso no significa que se estén gestionando con éxito. Los bancos pueden tener más dinero que la mayoría para gastar en ciberseguridad, pero también son un objetivo mayor.

Es por eso que la industria debería prestar atención a una advertencia reciente del Fondo Monetario Internacional (FMI) que la probabilidad de un ataque catastrófico con consecuencias sistémicas ha aumentado en los últimos años. Afirma que la industria ha perdido 12 mil millones de dólares por ataques cibernéticos en los últimos 20 años. Afortunadamente, se puede hacer mucho para mejorar la seguridad básica.

¿Qué dijo el FMI?

La preocupación es que las cosas se están volviendo más precarias a medida que las inversiones digitales amplían la superficie de los ciberataques y los actores de amenazas con buenos recursos se aprovechan. El FMI advierte que las “pérdidas extremas” en el sector de servicios financieros se han más que cuadriplicado desde 2017 hasta alcanzar los 2.5 millones de dólares. La creciente tensión geopolítica y la creciente dependencia de terceros proveedores están aumentando la exposición al riesgo de muchas organizaciones, añade.

La mayor preocupación del fondo es que los incidentes de ciberseguridad se extiendan desde una sola institución y amenacen a todo el sistema financiero global, erosionando la confianza de los clientes y/o interrumpiendo servicios críticos. Las violaciones graves de la ciberseguridad podrían incluso precipitar corridas bancarias, advierte el informe.

Esto ha estado en el radar de los reguladores durante algún tiempo. Por eso la UE creó el Ley de resiliencia operativa digital (DORA), que impacta a las entidades y sus proveedores de TI que operan en la región. De hecho, varias de las medidas sugeridas por el FMI para mejorar la ciberresiliencia en el sector se superponen con los requisitos de la regulación de la UE. Ellos son:

• Evalúa periódicamente el panorama de la ciberseguridad e identifica posibles riesgos sistémicos, incluidos los de terceros proveedores.
• Mejorar la cibergobernanza, incluido el acceso a nivel de junta directiva a la experiencia en ciberseguridad.
• Mejorar la ciberhigiene a través de las mejores prácticas de la industria
• Priorizar la presentación de datos y el intercambio de información para mejorar la preparación colectiva
• Desarrollar y probar procesos de recuperación y respuesta a incidentes.

Ian Harragan, cofundador de i-confidential, sostiene que la gobernanza es clave.

“La buena gobernanza de la seguridad ayuda a orientar la dirección de una organización, garantizando que alcance sus objetivos. Un aspecto importante de la gobernanza se relaciona con la respuesta a incidentes. Las organizaciones de servicios financieros entienden que son un objetivo para los adversarios, entonces, ¿cómo pueden limitar el daño causado por violaciones exitosas? le dice a ISMS.online.

“Esto se puede lograr a través de planes de respuesta a incidentes bien probados, que establezcan cómo los diferentes escenarios cibernéticos podrían afectar a una organización y luego brinden orientación sobre cómo recuperarse del incidente. Esto debería incluir ataques tanto a su propia infraestructura como a los proveedores”.

La cadena de suministro ES un factor de riesgo crítico

Otros expertos con los que habló ISMS.online también destacan las posibles brechas de seguridad en las cadenas de suministro bancarias. Por muy buena que sea la postura de seguridad de una institución financiera, aún podría ser violada mediante un ataque bien dirigido a un proveedor, o incluso a través de su cadena de suministro de software. No es difícil encontrar ejemplos. A Violacíon de datos en el proveedor de servicios IMS de Bank of America en noviembre de 2023 provocó la vulneración de la información personal de 57,000 clientes. Y la infame campaña MOVEit atrapó a docenas de bancos que utilizaban el popular software de transferencia de archivos, incluidos banco estrella de bandera, donde se robaron datos a más de 800,000 clientes.

Dan Potter, director senior de resiliencia operativa de Immersive Labs, sostiene que a medida que las instituciones financieras han tratado de satisfacer las demandas de los clientes de experiencias más optimizadas, sin saberlo han creado puntos de debilidad. Para abordar estos problemas es cada vez más importante una cooperación más estrecha con los proveedores, afirma.

“La velocidad ahora lo es todo para los clientes, y las organizaciones financieras tienen que innovar constantemente y crear experiencias digitales sin fricciones. Al mismo tiempo, también se espera que las instituciones financieras ofrezcan el más alto nivel de seguridad y protección de datos, al tiempo que cumplen con estándares regulatorios y de cumplimiento cada vez más altos”, dice Potter a ISMS.online.

“Si un único proveedor externo, que apoya a varios bancos para brindar servicios críticos, es afectado por un ciberataque, entonces podría causar caos en los mercados financieros. Por lo tanto, la colaboración bien establecida dentro del sector de servicios financieros ahora debe extenderse a la cadena de suministro y, en particular, a las grandes empresas tecnológicas”.

Sylvain Cortés, vicepresidente de estrategia de Hackuity, es pesimista sobre la capacidad de las empresas de servicios financieros para gestionar eficazmente el riesgo que permea sus cadenas de suministro de software.

"Un ejemplo muy reciente, la puerta trasera xz Utils, demuestra que el uso de software de código abierto en un sistema de producción puede tener beneficios pero también riesgos. Imagínese, ¿una puerta trasera introducida en casi todos los sistemas Linux del mundo?" le dice a ISMS.online.

“Desafortunadamente, evaluar y cubrir los riesgos de terceros es extremadamente complejo, si no imposible en algunos casos. En el caso de xz Utils, esto habría requerido que todas las organizaciones de usuarios de Linux revisaran y analizaran todo el código base de Linux, lo cual es prácticamente inviable”.

El propio FMI puede desempeñar aquí un papel potencial a la hora de acorralar los esfuerzos de los gobiernos para impulsar el intercambio de información y la investigación en este espacio, en beneficio de las organizaciones de servicios financieros globales, añade.

Las mejores prácticas allanan el camino hacia DORA

Una de las recomendaciones clave del FMI es mejorar la ciberhigiene mediante mejores prácticas. Aquí es donde el cumplimiento de las normas establecidas puede desempeñar un papel útil, sostiene Harragan de i-confidential.

"Los estándares de la industria, como ISO 27001 o NIST, brindan un marco confiable para que las organizaciones de servicios financieros establezcan sus bases de ciberseguridad, como los controles clave que deben implementar, y les ayuda a priorizar sus actividades en curso", explica.

“Sin embargo, la mayoría de las organizaciones de servicios financieros utilizarán múltiples estándares, desde verticales hasta ciberespecíficos, en lugar de centrarse únicamente en uno. Esto les permite adaptar cualquier esfuerzo a sus propias circunstancias. Adoptar un enfoque mixto de las mejores prácticas de ciberseguridad mejora en última instancia su resiliencia general”.

Los informes también son importantes, ya que permiten a las organizaciones de servicios financieros asegurarse de que están midiendo la seguridad con precisión y pueden adaptar sus programas al mayor riesgo, añade Harragan. Elegir las métricas correctas es clave aquí.

"Las métricas permiten a las organizaciones calificar sistemáticamente sus esfuerzos de seguridad para que puedan comprender dónde se encuentran actualmente en términos de efectividad y luego establecer objetivos sobre dónde quieren estar en el futuro", continúa Harragan. "Pero para ofrecer un programa de métricas eficaz, las organizaciones deben medir lo que deben, no sólo lo que pueden".

Sobre todo, los bancos que operan en la UE deberán poner en orden sus programas de cumplimiento de DORA antes de la fecha límite de enero de 2025. Es de esperar que el informe del FMI no les diga a los CISO del sector lo que aún no saben. Pero podría ayudarles a presentar un caso sólido ante la junta.