En un mundo donde se hace progresiva la migración de empresas a la nube, los riesgos cibernéticos, la confidencialidad y protección de los datos, así como la continuidad del negocio, va adquiriendo cada vez mas relevancia en los planes estratégicos tanto de las empresas como de los reguladores.
Esta semana hemos conocido que este tipo de riesgos han ido adelantando posiciones hasta convertirse en uno de los 5 riesgos sistémicos para la unión, incluso por delante de una eventual caída financiera.
Si bien la amenaza no es nueva, ni mucho menos depende de dónde estén los servicios, ya sea on-premise como en el cloud, nuestra dependencia y exposición a los activos tecnológicos nos convierte en vulnerables a posibles peligros de este tipo; más aún si se trata de organizaciones o instituciones relacionadas al sector económico de las naciones.
Jamie Dimon, CEO de JP Morgan, considera que un ciberataque le preocupa más que una inminente crisis financiera. Aunque se augura una posible recesión del sistema económico en 2020 para Estados Unidos, ha enfatizado que el país debería ocuparse en primer lugar de los riesgos cibernéticos.
Para el ejecutivo de esta empresa, creada el año 2000 tras la fusión del Chase Manhattan Corporation y la J.P. Morgan & Co y calificada como una de las compañías financieras más antiguas del mundo, el sistema económico podría volver a resquebrajarse si sufre un ciberataque devastador.
Así lo ha advertido para una reciente entrevista concedida a la CNBC, tomando en cuenta que sería la mayor vulnerabilidad. “Creo que tenemos que enfocarnos en eso, el gobierno de los Estados Unidos tiene que enfocarse en eso. Tenemos que asegurarnos porque los ciberterroristas y los ciberpaíses podrían causar un daño real. Ya estamos gastando mucho dinero y JP Morgan está seguro”.
La inflación alcista por supuesto que también le ocupa a Dimon, pero en segundo lugar. A su juicio, “la reacción de las tasas de interés de la Reserva Federal de Estados Unidos podría ser la causa de una recesión tradicional”.
Riesgos cibernéticos en la mira
El sector financiero se vuelve más complicado cada día para muchos analistas económicos, pero los expertos de la industria tecnológica otorgan cada vez más importancia a la amenaza de la guerra cibernética, que se vuelve más sofisticada al pasar de las horas y pone en jaque la seguridad de la información.
Puedes leer: Registran nueve ataques de malware por segundo en América Latina
En julio de este año, Dan Coats, director de Inteligencia Nacional de Estados Unidos dijo a Reuters que se encontraban en alerta y que las “luces de alarma” estaban parpadeando en rojo otra vez. De esa manera advirtió una creciente amenaza de riesgos cibernéticos devastadores contra la infraestructura estadounidense.
Explicó que Rusia, China, Irán y Corea del Norte lanzan diariamente ataques cibernéticos contra las redes de computadoras de agencias federales, siendo Rusia “el más agresivo actor extranjero sin duda” de esos cuatro. Agregó que las agencias estatales y municipales, corporaciones estadounidenses e instituciones académicas, también han sido blanco de esas agresiones en la red.
Para Coats, la posibilidad de un “ciberataque dañino” para su infraestructura crítica, por parte de un actor extranjero, está creciendo cada vez más. “El sistema estaba parpadeando en rojo. Aquí estamos casi dos décadas después y estoy aquí para decir que las luces de advertencia están parpadeando en rojo de nuevo”, declaró en Washington.
Pero, las amenazas y el miedo a los riesgos cibernéticos no sólo se centran en Norteamérica, en Europa también se ha revelado un informe realizado por las Autoridades Europeas de Supervisión (AES) donde se especifica que el ciberterrorismo se ha convertido en una de las mayores amenazas a las que se enfrentan los bancos y las empresas en general.
“A pesar de las oportunidades brindadas por la innovación tecnológica en el sector financiero para los consumidores e inversores, los riesgos cibernéticos se han convertido en una amenaza significativa y cada vez mayor para la protección del inversor, los mercados financieros y las instituciones y la estabilidad financiera en todo el mundo”, se lee en el documento.
Allí además se detalla que los riesgos cibernéticos acechan la seguridad de la información, su confidencialidad e integridad, así como la continuidad del negocio, convirtiéndose en algo verdaderamente significativo por los efectos multiplicadores que ello supone.
Las AES concluyen que este factor recibe mayor atención y se basan en una encuesta de la Autoridad Bancaria Europea y su Cuestionario de Evaluación de Riesgos (RAQ en inglés), donde el 42% de los consultados identificó “el riesgo cibernético y la seguridad de los datos como los principales controladores para aumentar el riesgo operacional”.
Otro 16% mencionó las fallas de Tecnología de la Información (TI) “como un factor de riesgo adicional”, es por eso que la ABE elabora directrices sobre la “gestión de los riesgos de las TIC para las instituciones”, así como las medidas de seguridad de las TIC.
En el informe también se han analizado los desafíos que supone la contratación externa para los proveedores de servicios en la nube. “Mayor dependencia de los proveedores de servicios en particular con respecto a actividades críticas, puede afectar la capacidad de las instituciones para gestionar su estrategia reputacional, cumplimiento y riesgos operacionales”.
También te interesa: Brecha de seguridad en British Airways cuestiona su política de externalización IT
La Autoridad Europea de Valores y Mercados (AEVM), de acuerdo al informe de las AES, está lanzando un proyecto de supervisión sobre computación en la nube. El objetivo principal sería explorar el riesgo de cumplimiento de la externalización de la computación en la nube, con la intención de formular una supervisión, respuesta y estrategia más clara.
La AEVM considera además “desarrollar orientaciones generales sobre subcontratación a proveedores de servicios de computación en la nube para participantes del mercado”.
Será así como, en el futuro, los supervisores tendrán que alentar a las instituciones financieras a mejorar la solidez de sistemas de TI, abordar las inquietudes sobre la conectividad, cibercrimen, seguridad de la información y la subcontratación a proveedores externos.
Al mismo tiempo se cuenta con el Reglamento General de Protección de Datos (GDPR) de la Unión Europea, que nació para “fortalecer y unificar la protección de datos para personas”. El reglamento se aplica desde mayo de 2018 en todos los Estados miembros de la UE y demanda una mejora en los procedimientos de seguridad.