Las autoridades de EEUU incrementan el escrutinio para un mayor control de la ciberseguridad
Por: Daniela Guzman y Brian Monroe
8 de enero de 2015
Las agencias reguladoras de Estados Unidos, federales y estatales, están aumentando la presión sobre las instituciones financieras para que elaboren protecciones y salvaguardas más rigurosas y precisas contra los ataques cibernéticos, y para que compartan de forma más eficiente información sobre violaciones y filtraciones con los clientes y las autoridades.
Pero si bien estas iniciativas pueden reforzar las barreras contra los atacantes en línea, significan un gran desafío para grandes instituciones financieras que ya enfrentan un mayor escrutinio por sus defensas antilavado de dinero, cumplimiento del régimen de sanciones y otras medidas contra los delitos financieros, dicen los profesionales de cumplimiento. Medianas y pequeñas instituciones enfrentarían obstáculos aún mayores debido a la falta de experiencia o de recursos.
El Departamento de Servicios Financieros de Nueva York (NYSDFS por sus siglas en inglés) anunció a finales de diciembre en una carta de orientación para la industria financiera que todos los bancos regulados bajo su jurisdicción serían examinados en los asuntos de seguridad cibernética. Los exámenes se basarán en las nuevas expectativas de los protocolos de seguridad cibernética, gobernanza y la seguridad de datos de terceros, entre otros temas.
Las nuevas evaluaciones sobre ciberseguridad van a ser incorporados en los exámenes bancarios realizados por el NYSDFS. Los exámenes probablemente se basarán en el “marco de ciberseguridad”, emitido a principios de este año por el US National Institute of Standards and Technology (Instituto Nacional de Estándares y Tecnología).
El marco fue creado para ser un instrumento de autoevaluación voluntaria y para establecer un conjunto de mejores prácticas. Establece los elementos básicos y de avanzada de los programas de seguridad cibernética, aunque no todas las organizaciones tendrán los recursos o la experiencia para ejecutarlo.
“El hecho de que el superintendente de NYSDFS, Ben Lawsky, y su equipo se están sumando y participando, destacan el hecho de que en el entorno digital en el mundo de hoy, todos los reguladores tienen que tomar la seguridad de datos y privacidad de los datos en serio”, dijo Joseph DeMarco, socio de la sede en Nueva York de DeVore & DeMarco. Como ex Fiscal Federal para el Distrito Sur de Nueva York, DeMarco fundó y dirigió el programa de piratería informática de la oficina.
También la semana pasada, los principales organismos reguladores y de investigación del país, entre ellas la Oficina del Contralor de la Moneda (OCC), el Departamento de Seguridad Nacional y la Oficina Federal de Investigaciones, testificaron en una audiencia en el Senado que, si bien se está avanzando, es necesaria más legislación y la colaboración público-privada para impedir mejor la delincuencia cibernética.
Lawsky señaló en un comunicado que quiere fomentar un “enfoque de precisión en este tema por parte de los bancos y los reguladores”. Con las amenazas en su punto más alto, el regulador espera que las instituciones financieras se centren en las vulnerabilidades de forma más eficaz con un examen que incluya ciertas normas de protección.
El examen incluirá preguntas que implican el manejo de las cuestiones de ciberseguridad, incluyendo la interacción entre la seguridad de la información y las funciones centrales del negocio, los riesgos planteados por infraestructura compartida, la administración de terceros, y más.
Para tener una visión de la forma que puede tener un programa de seguridad cibernética aprobado por el gobierno potencial, las instituciones pueden revisar el marco del NIST, emitido en febrero.
El marco es actualmente un esfuerzo voluntario y se centra en la “infraestructura crítica”, del país, incluidos los servicios financieros. Algunos analistas creen que el aspecto voluntario puede cambiar pronto, y el marco puede sentar las bases para futura legislación sobre seguridad cibernética.
En declaraciones ante el Congreso la semana pasada, el Tesoro de Estados Unidos tocó en el marco como un ejemplo de lo que la legislación más formal puede implicar.
El marco incluye mejores prácticas y herramientas que las empresas puede utilizar para crear o ampliar los programas de seguridad cibernética. Divide a los requisitos básicos en categorías – identificar, proteger, responder y recuperar. También establece los elementos técnicos por funciones, incluyendo “control de acceso” y “procesos de detección”, y enlaza con otras referencias, recursos y directrices.
“El Departamento del Tesoro de Estados Unidos alienta a las firmas de servicios financieros para que utilicen el marco, dijo, Brian Peretti, Director de oficina de protección de infraestructuras críticas y política de cumplimiento del Departamento del Tesoro, en declaraciones preparadas para la audiencia en el Senado.
El modelo, sin embargo, no garantiza la protección contra las amenazas informáticas de ciberdelincuentes de avanzada o examinadores cada vez más exigentes, pero “puede ser una herramienta útil entre otras herramientas que las empresas, las organizaciones y los bancos tienen”, dijo DeMarco.
Exigir a los bancos a crear programas de seguridad cibernética más formales también puede empujar a las operaciones a empezar a pensar de manera más integral en perseguir los delitos financieros, dijo.
Grandes instituciones han enfrentado ataques cibernéticos gran parte de este año, sin poder evitar golpes fuertes por parte de grupos de piratas informáticos organizados y determinados a hacer daño.
Los temores de ataques cibernéticos, en particular contra las piezas fundamentales de la infraestructura, tales como centrales eléctricas, plantas de alcantarillado o redes de comunicaciones, han empujado cambios en los más altos niveles de gobierno.
A medida que los reguladores y los examinadores buscan que se afinen los programas de seguridad cibernética, las agencias policiales estadounidenses están presionando por mayores recursos y cambios legislativos.
El Departamento de Seguridad Nacional de EEUU está buscando personal y mano de obra calificada en relación con sus estrategias de defensa cibernética, entre ellas el National Cybersecurity & Communications Center (NCCIC), un centro de alerta sobre la situación cibernética que funciona 24-7, y que provee respuesta a incidentes que coordina con todas las otras agencias federales antes, durante y después de ataques de hackers.
En ese mismo orden de ideas, el FBI quiere actualizar la Ley de Fraude y Abuso (Computer Fraud and Abuse Act) para asegurar que abarca tanto las estrategias históricas como las emergentes de los ataque de los delincuentes cibernéticos, dijo Joseph Demarest, director asistente de la división cibernética de la agencia, en declaraciones preparadas para la audiencia de la semana pasada.
Esta es la ley federal más importante contra la piratería en los archivos del gobierno y personales, la instalación de malware y eliminación de archivos.
Las instituciones reconocen una superposición entre la ciberseguridad y el delito financiero
Los principios establecidos por el FBI para aumentar el intercambio entre los bancos y las agencias de ley “tiene sentido”, dijo DeMarco, pero seguramente necesitarán un ajuste fino si se convierten en iniciativas legislativas para garantizar que son viables en la práctica y no excesivamente gravoso.
Las nuevas normas deberían ser algo para bancos de todos los tamaños, para que estén mejor preparados para eventuales requisitos reglamentarios y para alejar de manera más efectiva a los atacantes cibernéticos, dijo un oficial de cumplimiento a un banco pequeño en Texas.
Un programa de seguridad cibernética realmente abarca “todos los programas de delitos financieros en un banco”, dijo la persona, que pidió no ser identificada, y agregó que una violación puede ser el resultado de un fraude organizado, un simple clic erróneo por parte de un empleado y puede resultar en un ataque exitoso que termina moviendo dinero, que podría terminar afectando los protocolos de alerta del sistema de monitoreo ALD.
“Incluso si un banco no se ha fusionado por completo sus equipos y sistemas de fraude, ALD y seguridad cibernética, hay una mayor conciencia de que esos equipos tienen que saber y hacer más”, dijo la persona y agregó que la institución está actualmente considerando cuál es la mejor forma para proveer una capacitación integral a todos los departamentos sobre delitos financieros sobre las obligaciones de todos con el objetivo de crear sinergias y realizar investigaciones más rápidas.