Autoridades buscan mayor control en ciberseguridad para los proveedores de instituciones financieras
Los reguladores financieros se muestran cada vez más preocupados por las debilidades en el área de seguridad que presentan los proveedores que proveen servicios a los grandes bancos, temen que debilidades en las defensas de seguridad puedan permitir que delincuentes informáticos tengan acceso a información financiera muy delicada.
En una encuesta a 40 bancos, el principal regulador bancario del estado de Nueva York, Benjamin Lawsky, Superintendente del Departamento de Servicios Financieros de Nueva York (New York State Department of Financial Services) encontró que menos de la mitad de estas instituciones financieras inspeccionaba regularmente los sistemas de seguridad de sus proveedores de servicios. Alrededor de dos tercios de las empresas encuestadas no contaban con ninguna política que requiriera que estos proveedores les informaran cuándo sus sistemas habían experimentado algún peligro o había sido vulnerados.
Las empresas de Tecnología de la Información –TI–, procesadores de big data, bufetes de abogados y otras industrias que ofrecen servicios a los gigantes del sector bancario proporcionan puntos de entrada potencialmente vulnerables a una enorme cantidad de información almacenada en bases de datos financieros. En los últimos años, la preocupación por la seguridad cibernética bancaria se ha extendido para reconocer estos peligros, sobre todo con los bufetes de abogados. Los gigantes financieros de Wall Street también han respondido reforzando las defensas alrededor de sus sistemas. Pero la encuesta realizada por el Departamento de Servicios Financieros encontró que los bancos han sido lentos en la respuesta.
Tras la información que las organizaciones reguladas proveyeron al supervisor en relación con sus prácticas y procedimientos en torno al tema de la administración de proveedores de servicios, el departamento apuntó una serie de temas y preocupaciones.
Algunos resultados de la encuesta muestran que menos de la mitad de los bancos encuestados señaló que realizaron inspecciones presenciales a los proveedores de servicios y cerca de un tercio de las instituciones encuestadas no obligaban a sus proveedores a requerir a sus subcontratistas que realizaran una protección en el campo de la ciberseguridad tan exhaustiva como la que realizaban ellos.
La agencia supervisora le preguntó a las organizaciones bancarias que describan los procesos de debida diligencia utilizados para evaluar la capacidad de las prácticas de seguridad de la información de estos terceros. Todas las organizaciones encuestadas, menos una, clasificaban a sus proveedores por el nivel de riesgo y el 95% de las organizaciones financieras llevan a cabo evaluaciones específicas de riesgo de la seguridad de, por lo menos, sus proveedores de alto riesgo.
Entre los proveedores que fueron clasificados como de alto riesgo se encuentran las compañías procesadoras de pagos/cheques, operaciones de negociación y liquidación, y las empresas de procesamiento de datos. Algunas organizaciones bancarias eximen de su debida diligencia habitual a los consultores y proveedores profesionales de servicios (por ejemplo, los asesores jurídicos). Entre los proveedores que fueron clasificados como de bajo riesgo se incluyen a los proveedores de material de oficina, servicios de impresión, catering de comida, y servicios de limpieza.
El 90% de los bancos encuestados señaló que cuenta con requerimientos de seguridad de la información para sus proveedores, a pesar de que la naturaleza de estas obligaciones varía. Algunas instituciones de gran tamaño cuentan con requisitos específicos, incluyendo el cifrado de datos, controles de acceso, clasificación de datos, y planes de continuidad comercial y recuperación de un desastre, mientras que otras instituciones –grandes y pequeñas—simplemente obligan al cumplimiento de estándares generales de seguridad de la información.
Si bien casi todas las organizaciones bancarias encuestadas cuentan con políticas y procedimientos que requieren una revisión de las prácticas de seguridad de la información tanto en la selección de proveedores como en sus revisiones periódicas, menos de la mitad de las instituciones requieren las evaluaciones in situ de sus proveedores. Solo el 46% de las instituciones encuestadas están obligadas a llevar a cabo una evaluación en el lugar antes de la firma del contrato de, por lo menos, sus proveedores de alto riesgo, mientras que sólo el 35% de las organizaciones financieras deben realizar evaluaciones periódicas in situ de al menos los proveedores de alto riesgo.
El año pasado, cuando una filtración en JPMorgan puso en riesgo 83 millones de cuentas, el banco descubrió que los hackers habían sondeado metódicamente numerosos proveedores del gigante bancario en busca de acceso a sus redes, incluyendo una página web para la carrera atlética en beneficio de la organización de caridad del banco. A pesar de que los investigadores concluyeron finalmente que los propios sistemas internos de JPMorgan habían sido comprometidos, el incidente fue un recordatorio de que los piratas informáticos utilizarán cualquier estrategia para poder entrar.
Los reguladores se muestran preocupados de que una supervisión laxa de terceros conectados a las redes bancarias podría tener graves consecuencias. Cientos de millones de personas tienen su información personal y financiera más sensible almacenada en cuentas bancarias, un botín atractivo para los ladrones de identidad y otros delincuentes cibernéticos.
El Departamento pidió a cada entidad bancaria que señalara todas las protecciones por pérdidas experimentadas como resultado de una falla de seguridad de la información por un proveedor de servicios, incluyendo cualquier cobertura de seguro correspondiente. El 63% de las instituciones encuestadas (78% de las grandes instituciones) informó al Departamento que están cubiertas por un seguro que cubre los incidentes de seguridad cibernética. Sin embargo, solo el 47% de las instituciones encuestadas dijo tener pólizas de seguro cibernético que cubre de manera explícita las fallas de seguridad de información de un tercero que puede ser un proveedor.
Con base en las respuestas que recibió el Departamento de Servicios Financieros en esta encuesta, las organizaciones bancarias parecen estar trabajando para mitigar los riesgos que representan los proveedores terceros, aunque el progreso varía de acuerdo al tamaño y tipo de institución.